個人データの処理に係る個人の保護及び当該データの自由な流通に関する欧州議会及び理事会規則（一般データ保護規則）の提案

4章 - データ管理者及びデータ処理者

• セクション2　データセキュリティ
  • 30条　データ処理のセキュリティ
    • 1.　データ管理者及びデータ処理者は、（保護される）個人データの処理及び性質によるリスクに対し、適切なセキュリティレベルを確保するため、技術の状況及びその実装コストを踏まえ、相当な技術的及び組織的対策を講じなければならない。
    • 2.　 データ管理者及びデータ処理者は、リスクの評価に従い、偶然の若しくは違法の破棄又は偶然の紛失から個人データを保護するため、そして個人データに係る違法の処理（特に、不正開示、配布、アクセス又は変更）を防止するため、第1項の措置を講じなければならない。
    • 3.　委員会は、第1項及び第2項に規定する技術的及び組織的措置のさらなる基準及び条件の特定のため、第86条に従い指定された行為を行うために権限を付与されなければならない。かかる技術的及び組織的措置の基準及び条件の特定には、第4項が適用されない限り、特定の分野及び特定のデータ処理状況において、特に、プライバシーバイデザイン及びデータプロテクションバイデフォルトのために技術の発展を考慮して、何が技術の状況を構成するかにかかる決定を含むものとする。
    • 4.　委員会は、必要な場合、第1項及び第2項に規定する要件を様々な場合に応じ特定することができる。かかる場合は、特に以下を含む。
      • (a)　個人データの不正アクセスの防止
      • (b)　個人データの不正開示、閲覧、複写、修正、消去又は削除の防止
      • (c)　データ処理の適法性の確認
      • 委員会による特定は、第87条第2項に規定する試験手続（Regulation (EU) No 182/2011第5条のexamination procedure）に従って行われなければならない。

• • 31条　監督機関に対する個人データ違反の通知
    • 1.　個人データ違反の場合、データ管理者は、当該事実を認識したときより遅滞なく（実行可能な場合は24時間以内に）個人データ違反について監督機関に対し通知しなければならない。監督機関に対する当該通知が24時間以内になされなかった場合は、合理的な弁明を通知とともに行わなければならない。
    • 2.　第26条第2項(f)に従って、データ処理者は、個人データ違反後ただちにデータ管理者に対し警告及び通知しなければならない。
    • 3.　第1項に規定する通知は、少なくとも以下を含まなければならない。
      • (a)　個人データ違反の説明（データ主体（本人）の範囲及び数並びにデータ範囲及び数を含む）
      • (b)　データ保護オフィサー（data protection officer）又はより多くの情報が得られる他の連絡先を特定した上での連絡先詳細
      • (c)　個人データ違反の考えられる悪影響を軽減するための措置
      • (d)　個人データ違反の結果
      • (e)　個人データ違反に対応するためデータ管理者から提案されたか又はデータ管理者が講じた措置
    • 4.　データ管理者は個人データ違反の関連事実、影響及び救済措置について文書化しなければならない。当該文書は、本条に遵守していることを監督機関が検証できるものでなければならない。当該文書は、当該目的のために必要な情報のみ含むものとする。
    • 5.　委員会は、第1項及び第2項に規定するデータ違反及び個人データ違反についてデータ管理者及びデータ処理者が通知を要求される特定の状況のさらなる基準及び要件の特定のため、第86条に従い指定された行為を行うために権限を付与されなければならない。
    • 6.　委員会は、監督機関に対する当該通知の標準様式、手続及び第4項に規定する文書様式（当該文書に含まれる情報の消去の時間を含む）を定めることができる。これらは、第87条第2項に規定する試験手続（Regulation (EU) No 182/2011第5条のexamination procedure）に従って行われなければならない。

• • 32条　個人データ違反に関するデータ主体への連絡
    • 1.個人データ違反が、データ主体の個人データ保護及びプライバシーに対し悪影響を与える可能性がある場合、データ管理者は、第31条に基づく通知後、遅滞なく、データ主体に対し個人データ違反について連絡しなければならない。
    • 2.　第1項に規定するデータ主体への連絡は、個人データ違反の性質について説明しなければならず、また少なくとも第31条第3項(b)及び(c)に規定する事項を含まなければならない。
    • 3.　データ管理者が適切な技術的保護措置を講じたこと、及び当該措置が個人データ違反に係るデータに対し講じられたことを監督機関に対し十分に示すことができた場合には、個人データ違反に関するデータ主体への連絡は、要求されない。当該技術的保護措置は、データにアクセスする権限を有しない者に対し、データを理解できない状態に置かなければならない。
    • 4　個人データ違反に関するデータ主体へのデータ管理者の連絡義務に影響を与えることなく、データ管理者が個人データ違反に係るデータ主体に個人データ違反を連絡していない場合には、監督機関は、違反の悪影響がありうると認めた場合、連絡を行うよう命じることができる。
    • 5.　委員会は、第1項に規定する、個人データ違反がデータ主体の個人データ保護及びプライバシーに対し悪影響を与える可能性がある場合のさらなる基準及び要件の特定のため、第86条に従い指定された行為を行うために権限を付与されなければならない。
    • 6.委員会は、第1項に規定するデータ主体との連絡の形式及び手続を定めることができる。これらは、第87条第2項に規定する試験手続（Regulation (EU) No 182/2011第5条のexamination procedure）に従って行われなければならない。

• セクション3　データ保護影響評価及び事前承認
  • 33条　データ保護影響評価
    • 1.　データ処理が、その性質、範囲又は目的のためにデータ主体の権利及び自由に対し特定のリスクを有する場合、データ管理者又はデータ管理者の代理人であるデータ処理者は、予定されるデータ処理が有する個人データ保護に対する影響の評価を実施しなければならない。
    • 2.　以下のデータ処理は特に、第1項に規定する特定のリスクを有するものである。
      • (a)　自然人に関する個人的側面に関する体系的及び詳細な評価、又は、特に、自然人の経済状況、所在地、健康、個人的嗜好、信用性又は行動に関する分析又は予測であって、自動処理に基づき、かつ個人に関し法的影響を及ぼす（measures are based that produce）か個人に対し重大な影響を与える方法に基づくもの。
      • (b)　性的事柄、健康、人種、民族起源に関する情報、又は健康管理、疫学的調査、心理的調査、感染病調査のためのものであって、広範囲の特定の個人に関する措置を講じたり決定を下したりするためにデータが処理されるもの。
      • (c)　公共空間の監視、特に広範囲の視覚的電子的装置（ビデオ監視）
      • (d)　子ども、遺伝子データ又は生体データに関する大規模ファイリングシステムにおける個人データ
      • (e)　第34条第2項(b)に基づき監督機関への相談が要求されるその他のデータ処理
    • 3.　当該評価には、少なくとも、データ主体及び関係するその他の者の権利及び法的利益を考慮して、予定されるデータ処理の概要、データ主体の権利及び自由に対するリスク評価、リスクに対応するために予定される措置、個人データ保護を確保し本規則への遵守を示すための安全装置及びセキュリティ措置を含まなければならない。
    • 4.　データ管理者は、データ処理の商業的若しくは公的利益又はセキュリティを侵害することなく、意図するデータ処理に関し、データ主体又はその代理人の意見を求めなければならない。
    • 5.　データ管理者が官庁又は公的機関で、かつデータ処理が、データ処理に係る規則及び手続を規定する第6条第1項(c)に基づく法的義務に起因し、連合法（Union law）によって規制される場合であって、加盟国がデータ処理活動に先立って当該評価を実施する必要があると判断しない限り、第1項から第4項までは適用されない。
    • 6.　委員会は、第1項及び第2項に規定する特定のリスクを有する可能性があるデータ処理のさらなる基準及び条件の特定、並びに第3項に規定する評価の要件の特定（拡張性、検証及び監査性の条件を含む。）のため、第86条に従い指定された行為を行うために権限を付与されなければならない。これに際して、委員会は、超小規模、小規模及び中間規模の企業のための特定の措置を検討しなければならない。
    • 7.　委員会は、第3項に規定する評価を実行し、検証し監査するための標準及び手続を定めることができる。これは、第87条第2項に規定する試験手続（Regulation (EU) No 182/2011第5条のexamination procedure）に従って行われなければならない。

• • 34条　事前承認及び事前相談
    • 1.　データ管理者又はデータ処理者は、個人データの処理に先立ち、予定されるデータ処理に係る本規則遵守を確保し、また特に、データ管理者又はデータ処理者が第42条第2項(d)に規定する契約条項を採用するか、第42条第5項に規定する法的文書（legally binding instruments）において第三国又は国際危難に対する個人データの移転のための適切な保護措置を規定していない場合において、データ主体に係るリスクを軽減するために、監督機関から承認を得なければならない。
    • 2.　データ管理者又はデータ管理者の代理人であるデータ処理者は、個人データの処理に先立ち、予定されるデータ処理に係る本規則遵守を確保し、特に以下の場合においてデータ主体に係るリスクを軽減するために監督機関に相談しなければならない。
      • (a)　第33条に規定するデータ保護影響評価が、データ処理がその性質、範囲又は目的から、特定の高度のリスクを有する可能性があることを示す場合
      • 又は
      • (b)　データ処理の性質、範囲及び/又は目的から、データ主体の権利及び自由に対し特定のリスクを有する可能性があり、第4項に従って特定されるデータ処理について、事前相談を行う必要があると監督機関が判断する場合
    • 3.　予定されるデータ処理が本規則に遵守していないと監督機関が意見を有する場合、特に、リスクが十分に特定されていないか又は軽減されていない場合、監督機関は、予定されるデータ処理を禁止し、かかる不遵守を改善するため適切な提案を行わなければならない。
    • 4.　監督機関は、第2項(b)に従って事前相談に服するデータ処理の一覧を策定し、公表しなければならない。監督機関は、かかる一覧についてヨーロッパデータ保護ボード（European Data Protection Board）に連絡しなければならない。
    • 5.　第4項に規定する一覧が、複数の加盟国におけるデータ主体に対する商品若しくはサービスの提供又はデータ主体の行動の監視と関連するデータ処理活動を含む場合、又はEU内での個人データの自由な移動に重要な影響を与えうる場合、監督機関は、一覧の採用に先立ち、第57条に規定する調和メカニズム（consistency mechanism）をとらなければならない。
    • 6.　データ管理者又はデータ処理者は、監督機関に対し、第33条に規定するデータ保護影響評価を提出しなければならない。また、監督機関の要請に応じ、データ処理の法遵守、特にデータ主体の個人データ保護のリスク及び関連保護措置に係る評価を監督機関が実施できるよう、監督機関に対しその他の情報を提出しなければならない。
    • 7.　加盟国は、予定されるデータ処理が本規則を遵守し、特にデータ主体に係るリスクを軽減することを確保するため、国の議会によって採用される法的措置の準備の際に、又はかかる法的措置に基づく措置であって、データ処理の性質を定義するものについて、監督機関に相談しなければならない。
    • 8.　委員会は、第2項(a)に規定する特定の高度のリスクを決定するための基準及び要件の特定のため、第86条に従い指定された行為を行うために権限を付与されなければならない。
    • 9.　委員会は、第1項及び第2項に規定する事前承認及び相談の標準様式及び手続、並びに第6項に従って監督機関に提出するための標準様式及び手続を策定することができる。これは、第87条第2項に規定する試験手続（Regulation (EU) No 182/2011第5条のexamination procedure）に従って行われなければならない。

• ＊33条は、データ管理者及びデータ処理者に対し、危険な処理を行う前にデータ保護影響評価を実行する義務を課すものである。
• ＊34条は、Directive 95/46/ECの20条における事前点検に基づき、処理を行う前に監督機関の承認を受け、当該機関と協議することに関わるものである。

（和訳おわり）

（原文始まり）

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

3.4.4. CHAPTER IV - CONTROLLER AND PROCESSOR

• SECTION 2 DATA SECURITY
  • Article 30 Security of processing
    • 1. The controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected, having regard to the state of the art and the costs of their implementation.
    • 2. The controller and the processor shall, following an evaluation of the risks, take the measures referred to in paragraph 1 to protect personal data against accidental or unlawful destruction or accidental loss and to prevent any unlawful forms of processing, in particular any unauthorised disclosure, dissemination or access, or alteration of personal data.
    • 3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the technical and organisational measures referred to in paragraphs 1 and 2, including the determinations of what constitutes the state of the art, for specific sectors and in specific data processing situations, in particular taking account of developments in technology and solutions for privacy by design and data protection by default, unless paragraph 4 applies.
    • 4. The Commission may adopt, where necessary, implementing acts for specifying the requirements laid down in paragraphs 1 and 2 to various situations, in particular to:
      • (a) prevent any unauthorised access to personal data;
      • (b) prevent any unauthorised disclosure, reading, copying, modification, erasure or removal of personal data;
      • (c) ensure the verification of the lawfulness of processing operations.
      • Those implementing acts shall be adopted in accordance with the examination

procedure referred to in Article 87(2).

• • Article 31 Notification of a personal data breach to the supervisory authority
    • 1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 24 hours after having become aware of it, notify the personal data breach to the supervisory authority. The notification to the supervisory authority shall be accompanied by a reasoned justification in cases where it is not made within 24 hours.
    • 2. Pursuant to point (f) of Article 26(2), the processor shall alert and inform the controller immediately after the establishment of a personal data breach.

• • • 3. The notification referred to in paragraph 1 must at least:
      • (a) describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned;
      • (b) communicate the identity and contact details of the data protection officer or other contact point where more information can be obtained;
      • (c) recommend measures to mitigate the possible adverse effects of the personal data breach;
      • (d) describe the consequences of the personal data breach;
      • (e) describe the measures proposed or taken by the controller to address the personal data breach.
    • 4. The controller shall document any personal data breaches, comprising the facts surrounding the breach, its effects and the remedial action taken. This documentation must enable the supervisory authority to verify compliance with this Article. The documentation shall only include the information necessary for that purpose.
    • 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for establishing the data breach referred to in paragraphs 1 and 2 and for the particular circumstances in which a controller and a processor is required to notify the personal data breach.
    • 6. The Commission may lay down the standard format of such notification to the supervisory authority, the procedures applicable to the notification requirement and the form and the modalities for the documentation referred to in paragraph 4, including the time limits for erasure of the information contained therein. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).

• • Article 32 Communication of a personal data breach to the data subject
    • 1. When the personal data breach is likely to adversely affect the protection of the personal data or privacy of the data subject, the controller shall, after the notification referred to in Article 31, communicate the personal data breach to the data subject without undue delay.
    • 2. The communication to the data subject referred to in paragraph 1 shall describe the nature of the personal data breach and contain at least the information and the recommendations provided for in points (b) and (c) of Article 31(3).
    • 3. The communication of a personal data breach to the data subject shall not be required if the controller demonstrates to the satisfaction of the supervisory authority that it has implemented appropriate technological protection measures, and that those measures were applied to the data concerned by the personal data breach. Such technological protection measures shall render the data unintelligible to any person who is not authorised to access it.
    • 4. Without prejudice to the controller's obligation to communicate the personal data breach to the data subject, if the controller has not already communicated the personal data breach to the data subject of the personal data breach, the supervisory authority, having considered the likely adverse effects of the breach, may require it to do so.
    • 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements as to the circumstances in which a personal data breach is likely to adversely affect the personal data referred to in paragraph 1.
    • 6. The Commission may lay down the format of the communication to the data subject referred to in paragraph 1 and the procedures applicable to that communication. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).

• SECTION 3 DATA PROTECTION IMPACT ASSESSMENT AND PRIOR AUTHORISATION
  • Article 33 Data protection impact assessment
    • 1. Where processing operations present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, the controller or the processor acting on the controller's behalf shall carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.
    • 2. The following processing operations in particular present specific risks referred to in

paragraph 1:

• • • • (a) a systematic and extensive evaluation of personal aspects relating to a natural person or for analysing or predicting in particular the natural person's economic situation, location, health, personal preferences, reliability or behaviour, which is based on automated processing and on which measures are based that produce legal effects concerning the individual or significantly affect the individual;
      • (b) information on sex life, health, race and ethnic origin or for the provision of health care, epidemiological researches, or surveys of mental or infectious diseases, where the data are processed for taking measures or decisions regarding specific individuals on a large scale;
      • (c) monitoring publicly accessible areas, especially when using optic-electronic devices (video surveillance) on a large scale;
      • (d) personal data in large scale filing systems on children, genetic data or biometric data;
      • (e) other processing operations for which the consultation of the supervisory authority is required pursuant to point (b) of Article 34(2).
    • 3. The assessment shall contain at least a general description of the envisaged processing operations, an assessment of the risks to the rights and freedoms of data subjects, the measures envisaged to address the risks, safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation, taking into account the rights and legitimate interests of data subjects and other persons concerned.
    • 4. The controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of the processing operations.
    • 5. Where the controller is a public authority or body and where the processing results from a legal obligation pursuant to point (c) of Article 6(1) providing for rules and procedures pertaining to the processing operations and regulated by Union law, paragraphs 1 to 4 shall not apply, unless Member States deem it necessary to carry out such assessment prior to the processing activities.
    • 6. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the processing operations likely to present specific risks referred to in paragraphs 1 and 2 and the requirements for the assessment referred to in paragraph 3, including conditions for scalability, verification and auditability. In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises.
    • 7. The Commission may specify standards and procedures for carrying out and verifying and auditing the assessment referred to in paragraph 3. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).

• • Article 34 Prior authorisation and prior consultation
    • 1. The controller or the processor as the case may be shall obtain an authorisation from the supervisory authority prior to the processing of personal data, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where a controller or processor adopts contractual clauses as provided for in point (d) of Article 42(2) or does not provide for the appropriate safeguards in a legally binding instrument as referred to in Article 42(5) for the transfer of personal data to a third country or an international organisation.
    • 2. The controller or processor acting on the controller's behalf shall consult the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where:
      • (a) a data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or
      • (b) the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4.
    • 3. Where the supervisory authority is of the opinion that the intended processing does not comply with this Regulation, in particular where risks are insufficiently identified or mitigated, it shall prohibit the intended processing and make appropriate proposals to remedy such incompliance.
    • 4. The supervisory authority shall establish and make public a list of the processing operations which are subject to prior consultation pursuant to point (b) of paragraph 2. The supervisory authority shall communicate those lists to the European Data Protection Board.
    • 5. Where the list provided for in paragraph 4 involves processing activities which are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of their behaviour, or may substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57 prior to the adoption of the list.
    • 6. The controller or processor shall provide the supervisory authority with the data protection impact assessment provided for in Article 33 and, on request, with any other information to allow the supervisory authority to make an assessment of the compliance of the processing and in particular of the risks for the protection of personal data of the data subject and of the related safeguards.
    • 7. Member States shall consult the supervisory authority in the preparation of a legislative measure to be adopted by the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects.
    • 8. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for determining the high degree of specific risk referred to in point (a) of paragraph 2.
    • 9. The Commission may set out standard forms and procedures for prior authorisations and consultations referred to in paragraphs 1 and 2, and standard forms and procedures for informing the supervisory authorities pursuant to paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).

• • Article 33 introduces the obligation of controllers and processors to carry out a data protection impact assessment prior to risky processing operations.
  • Article 34 concerns the cases where authorisation by, and consultation of, the supervisory authority is mandatory prior to the processing, building on the concept of prior checking in Article 20 of Directive 95/46/EC.

（原文おわり）