一般データ保護規則 (GDPR)

Stripe ガイド: ヨーロッパにおけるプライバシーとデータ保護に関する変更について

はじめに

2018 年 5 月 25 日発効の新しいプライバシーとデータ保護法の概要および GDPR 準拠のためのベストプラクティス

GDPR は、この数十年で最も重要なデータプライバシー規則の変更をもたらしました。各企業は、自社のシステムおよび契約に対する広範囲の変更の実装に取り組んでいます。規則準拠およびプライバシー重視のプラットフォームを利用する企業は、有利なスタートを切れます。このガイドの目的は、GDPR の広範にわたる重要性、データ処理業務を向上できる機会、および GDPR に準拠してそれを維持する方法をユーザに理解してもらうことです。

注: この GDPR ガイドは、情報提供のみを目的としており、法律上の助言ではありません。GDPR が事業に与える影響について適切な助言を得るには、法律顧問に相談してください。

GDPR とは

一般データ保護規則 (GDPR) は、EU 全域に及ぶプライバシーとデータの新しい保護法です。この規則では、組織のシステム内にあるプライバシーの保護の強化、データ保護の実施に対し、より明確な方法で同意を得ること、およびユーザに明瞭でわかりやすい表現による組織のプライバシーとデータの保護の開示が求められます。

GDPR は、1995 年からの EU の現在のデータ保護の法的枠組み (「データ保護指令」 として一般に知られています) を置き換えます。データ保護指令が EU 加盟国法への移行を求められたことにより、EU データ保護法の状況が分裂することになりました。GDPR は、すべての EU 加盟国に直接的な法律上の影響を与える EU 規則です。つまり、拘束力を持たせるために、GDPR を EU 加盟国の国内法令に置き換える必要はありません。これによって、EU 内での調和の取れた一貫性のある法適用が強化されます。

GDPR は EU 外に拠点を置く組織にも適用

データ保護指令と異なり、GDPR は所在地が EU にある企業だけでなく、グローバルに事業を行っている企業にも関係します。GDPR の下、(i) 組織が EU 内に設立されている場合、または (ii) 組織が EU 内に設立されていないが、データ処理操作が EU の個人に関連しており、個人への商品やサービスの提供またはそれらの動きのモニタリングに関連がある場合に、その組織は対象となる可能性があります。

個人データ処理とは GDPR における上位概念である

GDPR は、EU の個人のデータが組織によってどのように処理されるかを管理します。「個人データ」と「処理」は、この法規則で頻繁に使用される用語であり、GDPR におけるその具体的な意味を理解すると、この法律の及ぶ正確な範囲を理解することができます。

  • 個人データ は、識別された個人または識別できる個人に関連する情報です。個人データは、個人を識別するために、単独でまたは他の情報と組み合わせて使用される可能性のある情報を含むため、非常に幅広い概念です。個人データは、個人の名前やメールアドレスだけではありません。これは、財務情報や、場合によっては IP アドレスなどの情報も含まれる場合があります。さらに、特定の種類の個人データは、機密性の理由でより高いレベルのデータ保護を与えられます。この種類のデータとは、個人の人種や民族的出身に関する情報、政治的見解、宗教的信念と哲学的信念、労働組合の組合員であること、遺伝的データ、バイオメトリックデータ、健康データ、個人の性生活または性的指向に関する情報、および犯罪歴情報です。

  • 個人データの処理は、GDPR の下での義務を誘因する主要な活動です。処理は、自動化された方法かどうかに関係なく個人データまたは一連の個人データに対して行われる任意の操作または一連の操作 (収集、記録、編成、構造化、保管、適合または変更、取得、参照、使用、送信による開示、普及または他の方法で利用可能にする、整列または組み合わせ、制限、消去、破壊など) を意味します。実際的には、これは、個人データを保管または照会するすべてのプロセスが「処理」とみなされることを意味します。

主要な概念: データ管理者とデータ処理者

EU データ保護法には、個人データを処理できる 2 種類のエンティティ (データ管理者とデータ処理者) があります。

データ管理者 (管理者) は、単独でまたは他と連携して個人データの処理の目的および方法を決定するエンティティです。データ処理者 (処理者) は、管理者に代わって個人データを処理するエンティティです。

データ処理操作ごとに、個人データを処理するエンティティが管理者か処理者かを判別することが重要です。このマッピングにより、組織のデータ処理操作それぞれに伴う権利や義務を理解できます。

Stripe には、Stripe がデータ管理者となる特定のデータ処理操作と、Stripe がデータ処理者となるその他のデータ処理操作があります。この二重の役割の良い実例は、Stripe がクレジットカード取引を処理する場合です。取引を進めるには、カード保有者の名前、クレジットカード番号、カード有効期限、セキュリティコードなどの個人データの処理が必要です。カード保有者のデータは Stripe ユーザから Stripe に Stripe API (または Stripe Elements などその他の組み込みメソッド) によって送信されます。その後、Stripe はそのデータを使用して、クレジットカードネットワークのシステム内で取引を完了します。これは Stripe がデータ処理者として実行する機能です。ただし、Stripe はその規制義務 (Know Your Customer (“KYC”) や Anti Money Laundering (“AML”) など) に準拠するためにもそのデータを使用します。この役割においては、Stripe はデータ管理者です。

GDPR における個人データ処理の法的根拠

次に検討するのは、特定の処理操作が GDPR に準拠しているかどうかを判断することです。GDPR の下で、管理者または処理者として実行されるすべてのデータ処理操作は法的根拠に依存する必要があります。GDPR では、EU の個人の個人データ処理に対して合計で 6 つの法的根拠を認めています (GDPR では、EU の個人は 「データ主体」と呼ばれます)。これら 6 つの法的根拠を、GDPR 第 6 条 (1) (a) から (f) の順で以下に挙げます。

  1. データ主体は、1 つ以上の特定の目的のために自分の個人データを処理することに同意を与えられている。

  2. 処理は、データ主体が関係している契約の遂行のために必要である、または契約を締結する前にデータ主体の要求に応じるための手続きに必要である。

  3. 処理は、管理者が従う法的義務への準拠のために必要である。

  4. 処理は、データ主体の極めて大きな利益を保護するために必要である。

  5. データ処理は、公益または職権の行使において実施される作業の遂行のために必要である。または

  6. 処理は、事業体によって追求される正当な利益のために必要である。ただし、そうした利益よりも個人データ保護を求めるデータ主体の利益または基本的権利と自由が優先する場合を除きます。

GDPR で許可される処理のリストとデータ保護指令に含まれているリストの間には類似があります。ただし、重大な相違もあります。

もっとも頻繁に論議されている GDPR によって行われた変更は、データ保護指令と比較した場合、同意要件の強化です (上記リストの項目 1)。GDPR の同意要件には、(i) 同意は検証可能であること、(ii) 同意の要求は他の件と明確に区別できること、(iii) データ主体は同意を取り消す権利について通知されなければならないこと、などの要素が含まれます。また、機密データの処理に関しては、さらに高い同意要件 (明示的な同意) が課されるという点に留意することも重要です。

特筆すべきもう一つの重要な項目は、正当な利益の項目 (上記リストの項目 6) です。個人データの処理を裏付ける際に「正当な利益」に依存するとき、組織はこの法的根拠に関連付けられているバランステスト要件を意識する必要があります。GDPR の下で説明責任の原則を満たすために、組織はバランステストへの準拠を文書化する必要があります。これには、準拠の方法とバランステストが満たされたと判断を下す前に考慮した論拠が含まれます。

GDPR における個人の権利

データ保護指令の下では、個人は自身の個人データに関する特定の基本的権利を保障されていました。個人の権利は、GDPR の下でいくつかの明確化した修正に準拠して引き続き適用されます。以下の 表では、データ保護指令と GDPR の下での個人の権利を比較しています。

個人の権利 データ保護指令 GDPR
データ主体へのアクセス要求 個人には、自分の個人データが処理されるかどうか、自分に関するどの個人データがどのように処理されるか、およびデータ処理操作が何であるかを知る権利があります。 この権利の範囲は GDPR の下で拡張されています。たとえば、アクセス要求を行うとき、個人は追加情報を受け取る必要があります。これには、以前は存在しなかった GDPR の下での追加のデータ保護権利 (データポータビリティに対する権利など) に関する情報が含まれます。
異議を唱える権利 個人は、説得力のある正当な理由があれば、特定のデータ処理操作を禁止できます。また、個人は 直接販売目的での個人データの処理に異議を唱えることもできます。 GDPR では、データ保護指令と比較してこの権利の範囲が拡大しています。
訂正または消去の権利 個人は、該当するデータ保護の原則に個人データの処理が確実に従うように、不完全なデータを完全にすることや、不正なデータを修正することを要求できます。 GDPR の位置付けはデータ保護指令と実質的に同じですが、いくつかの手続きに関する保護は GDPR の下で強化されています。
制限の権利 処理を制限する権利はありませんが、データ保護指令では、処理操作がデータ保護の原則に従っていない場合 (たとえばデータが完全でない場合や不正確である場合)、個人に個人データのブロックを要求する権利を与えています。 GDPR では、特定の状況において個人に自分の個人データの処理を制限することを要求する権利を与えています。こうした状況には、個人がデータの精度に異議を唱える場合が含まれます。
消去権 (忘れ去られる権利) 個人には、処理操作がデータ保護の原則に従ってない場合に、自分の個人データの消去を求める権利があります。したがって、この権利は非常に限定的です。 GDPR では、この権利が大幅に拡張されました。たとえば、消去する権利は、個人データが収集された目的に関してデータが不要になった場合、または個人が処理に対する同意を取り消して他の法的根拠で処理の継続が裏付けられない場合に行使できます。
データポータビリティの権利 データ保護指令では、“データポータビリティ”をデータ主体の権利として明示的に言及していません。EU 加盟国の法律は、データポータビリティの権利に近い追加権利を国レベルで施行している可能性があります。 個人は、特定のデータ管理者が保持する個人データを本人または他の管理者に提供することを要求できます。

多国間のデータ移転

多国間データフローは近年注目のテーマであり、この分野においてかなりの論争と法改正がありました。また、多国間データフロー関連の法律はこの先何年かは発展し続けることもほぼ確実です。今日、EU データ保護規則の下で、EU の個人の個人データが EU 外に移転可能となる前に特定の要件を満たす必要があります。ただし、個人データを受け取る組織の所在地が、ホワイトリストに記載された管轄区域にある場合を除きます (ホワイトリストに記載された管轄区域についてはこちらをご覧ください)。

GDPR の下で、その法律が発展し続け、利用できるデータ移転の仕組みも少数のため、多国間のデータ移転は難しいテーマです。難しくはありますが、個人データの準拠フローはすべてのテクノロジー企業の根幹であるため、組織は発展に遅れずについていく必要があります。

EU から米国へのデータ移転フローの仕組みで特に重要な 1 つは、プライバシーシールドのフレームワークです。EU-米国間およびスイス-米国間のプライバシーシールドは、プライバシーシールドのフレームワークの要件に従って組織が保証および登録することを要求することにより、組織が十分なレベルのデータ保護を提供することを保証する方式です。Stripe は、この理由から EU-米国間およびスイス-米国間のプライバシーシールドに対する認証を取得しました。Stripe のプライバシーシールド認証はこちら、プライバシーシールドポリシーはこちらにあります。詳細については、Stripe の EU データ移転のサポートページをこちらでご覧ください。

Stripe は、EU の個人の個人データについて Stripe のグローバル事業の処理すべてを管理する多国間データ移転の準拠評価基準を整えています。これらの基準は、EU の標準契約条項に基づいています。

上記で述べたように、多国間データフローは将来的に法改正される可能性のある分野であり続けます。この理由から、弊社は多国間データ移転コンプライアンス基準に関する法の発展にしっかりと追従し、EU のデータ主体の個人データの多国間移転の準拠を保証するために、使用可能なあらゆる手段を講じます。これは、Stripe のデータ移転準拠プログラムに拡張できる限りの冗長性を組み込んでいることも意味し、GDPR の下で Stripe が使用できるツールを使用してこれらの冗長性を拡張する予定です。

不履行

GDPR の不履行による帰結で最も参照されるものは、不履行の組織に対して科すことができる過料の最高額です。課せられる過料の最高額は、グローバル収益の 4% または 2 千万 EUR うち、いずれか高い方です。その他の種類の違反は、グローバル収益の 2% または 1 千万 EUR のうち、いずれか高い方の過料です。

参照頻度がより低いのは、GDPR の 第 58 条の下でのデータ保護機関 (“DPA”) の権力です。これらの権力には、データ処理の完全な禁止を含む、データ処理操作に関する一時的または限定的な制限などの是正措置を DPA が課す能力や、第三国の受取人へのデータフローの差し止めを命令する能力が含まれます。

Stripe と GDPR

プライバシー、データ保護、およびデータセキュリティは、正に Stripe の中核を成すものです。Stripe ではセキュリティおよびデータプライバシーの領域における基準を継続的に見直しており、GDPR はこの分野について業界全体が協力して改善する好機であるととらえています。

Stripe は、2016 年から GDPR への取り組みを開始し、弊社のサービスが 2018 年 5 月 25 日の発効日に GDPR に準拠しているよう努めています。

GDPR 準拠は多くの要素から成ります。Stripe では特に、ドキュメントおよび同意を GDPR 要件に沿って更新しています。また、内部ポリシーと手続きも GDPR 標準に準拠するように改訂しています。

GDPR 準拠のほとんどの要素は、組織が個人データを処理する方法に関する更新に関連しているので、組織の “内部で” 行われます。以下は、Stripe などのプラットフォームが、GDPR を見越して、ユーザ (およびそのプラットホーム自体) のために実行している手順の一部です。

  • 企業の事業運営に照らして、データ保護指令の要件と GDPR の要件のギャップ分析を行う。

  • 必要に応じて、内部ツール、手続きおよびポリシーを見直し更新する。

  • データマッピングおよびデータ目録作成の業務を見直し、必要に応じて GDPR の下で記録保持義務に従うように更新する。

  • データ保護影響評価の要件を満たすために、プライバシーとデータ保護のレビューツールに特化したギャップ分析を行う。

  • 多国間データ移転に対する取り組みを更新する。

  • 第 28 条の GDPR の義務は企業の契約当事者に関連するため、契約を更新して、それらの義務を反映する。

  • ベンダーとの関係を見直して、必要に応じて GDPR の要件を満たすように関係を変更し、それらの第三者が個人データを合法的に受け取って処理するように徹底する。

  • 継続的な社員教育を伴う、企業のプライバシーコンプライアンスプログラムを更新し、GDPR のために実施される変更内容を反映する。

説明責任の原則

Stripe ユーザは、法務専門家に相談の上、GDPR の下での自分のコンプライアンス義務の全範囲を理解する必要があります。原則として、EU 内に設立された組織である場合、または所属組織が EU の個人の個人データを処理している場合は、GDPR が適用されます。

留意すべき主要な GDPR 原則の 1 つが説明責任の原則です。説明責任の原則では、データ管理者は、その処理操作が GDPR に規定されているデータ保護の原則に準拠していることを実証できる必要があることが言明されています。コンプライアンスを実証するもっとも簡単な方法は、GDPR 準拠への取り組みを文書化して周知させることです。

Stripe では、コンプライアンスは、ユーザオペレーション、営業、開発、セキュリティ、および法務を含む弊社の組織にまたがる多くの人の共同努力の産物です。弊社の経験上、部門間のパートナーシップおよび 読みやすいドキュメントは、GDPR 準拠のプロセス全体において非常に役立ちます。

Stripe ユーザ向けの GDPR チェックリスト

2018 年 5 月 25 日まで数週間を残し、小規模および中規模な組織は GDPR の準備に特有の課題に直面している可能性があります。この点を考慮して、ユーザのために GDPR コンプライアンスプログラムの主要な要素のいくつかをチェックリストにまとめました。

共通の理解を持つ: 技術サポート、顧客サポート、および法務の同僚と集まり、GDPR の内容と組織への影響についての理解を促進する。

組織内での個人データの処理を明確に把握する: データマッピングを行うと、個人データがどのようにシステムによって保存および処理されているか解明するのに役立ちます。以下の質問が手引きとなります。

  • 処理している個人データの種類は何ですか? (例えば、財務情報、健康情報、マーケティング関連情報)
  • 処理している個人データの個人の種類は何ですか? (例えば、カード保有者、子供、患者)
  • この情報を処理する理由は何ですか?
  • この情報の収集方法、収集理由は何ですか?
  • このデータをどのように保護していますか?
  • この情報を受け取る第三者はいますか? いる場合は、そうした第三者の受取人をプライバシーポリシーまたはその他の形式の通知で公表していますか? 第三者が誰か知っていますか? 個人に関する情報をどのくらいの期間保持していますか?

法的根拠のマッピング: 上記で述べた 6 つの法的根拠に照らし合わせます。データマップで特定されたすべての処理操作を、法的根拠に結び付けます。その関連付けから法的根拠マップが得られます。

権利を行使する個人に応じる方法を知る:

  • データマッピングの情報を使用して、データ主体のアクセス要求に応えられるようにします。
  • オプトアウト、修正、消去の各要求に応じるために、データマップから、システム内の個人データのある場所 (および他のシステムと相互参照されている場所 ) を把握します。
  • システムで使用するデータ形式を把握し、データポータビリティ要求に応答する方法を理解します。

データ侵害とインシデント対応: 組織のテクニカル / セキュリティ面について同僚に話す際、インシデント対応計画を確実に理解しているようにします。セキュリティインシデントが発生した場合に、インシデント対応に関係するすべての人がすべきことを理解できるように、架空の演習を何度か実行します。問題が発生したときにインシデント対応計画を実行する準備を整え、インシデント対応チームを最適化しておくことが理想的です。

このチェックリストに追加できる要素はまだ多くあり、内部の専門家および外部のアドバイザーと協力して、ニーズに応じてカスタマイズしたリストを作成する必要があります。例をいくつか挙げると、データ保護影響評価の実施、データ保護最高責任者の指名、マーケティング業務およびその他の企業通信業務の管理とレビュー、ベンダー管理および契約プロセスの再検討などが必要な場合があります。

データ処理操作のマッピングによる確かな基盤があれば、直面するその後の GDPR 準拠の問題に対してプラスになります。

以下に、弊社の役に立った (願わくば皆様の役にも立つ) 追加のリソースを示します。

追加のリソース

GDPR はさまざまな場所で言及されており、オンラインで利用できる良質なリソースを把握するのは困難です。GDPR の発展に遅れないために弊社が参照したリソースを以下にいくつか挙げます。

  • すべては法律文から始まる: GDPR の完全な法律文はこちらにあり、データ保護指令はこちらにリンクされています。

  • 監督当局: データ保護当局 (DPA) が各 EU 加盟国にあり、それらの多くは GDPR 実施に関する有用なガイドラインを公開しています。DPA のリストはこちらにあります。

  • 第 29 条の作業部会 (WP29) は欧州データ保護委員会 (EDPB) となります: WP29 は各 EU 加盟国の DPA、欧州データ保護監督者、および欧州委員会からの代表者で構成される諮問機関です。2018 年 5 月 25 日より、WP29 は EDPB になります。EDPB には、各 EU 加盟国の DPA の長と欧州データ保護監督者 (European Data Protection Supervisor) が含まれます。

    WP29 は数百のガイドラインおよび見解を発表し、協議のための複数のテーマを開示しています。最新のガイドラインおよび見解はすべて、GDPR 要素を組織のコンプライアンス体系に実装する最善の方法に焦点を当てています。WP29 Newsroom はこちらです。

    作業部会 29 の古いウェブサイトには多くの追加リソースがありましたが、残念ながら、現在は新しいウェブサイトレイアウトで容易にアクセスできなくなりました。追加資料が掲載されているアーカイブされたウェブサイトはこちらにあります。

  • いくつかの DPA、法律事務所、IAPP などのプライバシー組織、その他多くの組織、NGOや企業が、GDPR 関連のイベントを主催しています。GDPR 実施に関して同じような疑問を持つ組織はおそらく他にも多数存在するでしょう。こうしたイベントは、GDPR コミュニティに参加して共に問題に取り組む良い機会です。

ガイド一覧に戻る
You’re viewing our website for Austria, but it looks like you’re in the United States. Switch to the United States site