WirelessWire News The Technology and Ecosystem of the IoT.

by Category

法律 書類 イメージ

GDPRで許容されるDPIAの範囲

GDPR: Criteria for an acceptable DPIA

2018.06.26

Updated by Mayumi Tanimoto on June 26, 2018, 10:14 am UTC

前回は、GDPRにおけるデータのリスク評価であるDPIAについて解説しましたが、今回は、EUにおいて許容されるDPIA評価の内容です。

EUは独自の雛形を発表していませんが、リスク評価は、ARTICLE 29 DATA PROTECTION WORKING PARTYのガイドラインに沿って作成される必要があります。以下はそのガイドラインの詳細です。

ガイドラインの詳細を読むと、リスク管理の実施にあたって、特に

・データ処理の目的が明確であること

・データ処理の必要性の評価

・具体的なリスク管理の対応策

・データアクセスの完全性と遵法性

・脅威への対応

が詳しく述べられる必要があることがわかります。多くの組織におけるセキュリティリスク評価や対応策と比較し、もう一歩踏み込んでデータ処理に特化し、深掘りした形になっています

**********************

■データ処理のプロセスのシステマティックな説明が提供される(第35条7(a)

ー そのデータ処理の状況、範囲、コンテクスト及び目的が考慮されている(recital
90)
ー 個人情報、情報を受けている人、個人情報が保存される期間が記録されている
ー データ処理のプロセスの運用の機能的な説明が提供される
ー 個人情報が依存する資産(ハードウエア、ソフトウエア、ネットワーク、人、もしくは紙を運搬するチャネル)が定義されている

ー 承認された倫理規定が適用されていることが考慮されている(35条の8)

 

■必要性と比例性が評価されている(35条7(b))

ー  規制に対応した適応手段が決定されている(35条7(d))

ー 対応手段が比例性に貢献しておりデータ処理の必要性が以下の条件によって定義されている


・的確で明示的、 合法な目的(5条(1)(b)
・法律に則ったデータ処理(6条)
・十分かつ適切で Vita の必要性に限定されている(5条(1)(c)

・保存期間が限定的(5条(1)(e))


ー対応手段がデータの分類の権利に貢献している
・データ分類に提供される情報 (12, 13及び14条)

・データアクセスの権利と移動性(15及び20条)
・データの補正と抹消の権利(16、17及び19条)
・データの処理に反対し制限を設ける権利(18、19及び21条)

・データ処理者との関係(28条)
・データの国際配信の際の保護(5章)

・事前の相談(36条)


■データの内容の権利と自由へのリスクが管理されている(35条(c))

ー リスクの要因、環境、特殊性および重要性、もしくはより限定的に各リスク(法的な手段のアクセス、希望されない変更、及びデータの消滅)が検討されている (cf. recital 84)
risks sources are taken into account (recital 90);

・リスク対応の資源が公用されている (recital 90)
・データの内容の権利と自由に対する潜在的な影響が定義されており、違法なアクセス、希望しないデータの変更及びデータの消失を想定している
・データの違法なアクセス、希望しない変更およびデータの消滅を起す脅威が定義されている
・脅威の深刻性が想定されている (recital 90)


ー それらのリスクに対する脅威への対応策が想定されている(35条(7)(d) 及びrecital 90)

 

■関係者が参加している
ー DPOに対する助言が想定されている(35条(2))
ー 必要な場合データの内容もしくはデータの代表性が想定されている(35条(9))

 

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

谷本 真由美(たにもと・まゆみ)

NTTデータ経営研究所にてコンサルティング業務に従事後、イタリアに渡る。ローマの国連食糧農業機関(FAO)にて情報通信官として勤務後、英国にて情報通信コンサルティングに従事。現在ロンドン在住。

RELATED TAG