GDPRでは、プライバシーに関して高いリスクがありうる場合に、DPIA(Data Protection Impact Assessment)を実施する義務が規定されています(GDPR35条)。なお、DPIAは国際的に認知されている仕組みであり、英米法圏ではPIA(Privacy Impact Assessment)と呼ばれます。日本でもPIAとして実施されており、マイナンバーに関しては特定個人情報保護評価として公的機関に義務付けられてもいます。
今日は、DPIAガイドライン参考仮訳から、DPIAが必要な場合を抜粋してみたいと思います。
https://www.ppc.go.jp/files/pdf/dpia_guideline.pdf
自然人の権利及び自由に高いリスクをもたらすことが予想される場合に、DPIAを実施する義務あり
- 例)新規のデータ取扱技術導入
- (a) プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合;
- (b) 第 9 条第 1 項に規定する特別な種類のデータ又は第 10 条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合
- (c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合
9つの基準
- 評価又は採点。
例)金融機関が顧客を信用照会データベースでスクリーニングする場合、疾病・健康リスクを評価するために消費者に直接遺伝子検査を売り込む場合、企業がサイト上での利用・誘導に基づいて行動、マーケティングプロファイルを作成する場合 - 法的又は同種の重大な影響のある自動化された意思決定。
例)個人の差別・排除につながる←プロファイリングガイドライン参照 - 体系的な監視
- センシティブデータまたは高度に個人的な性質を有するデータ。
例)探偵、病院とあるが、前文91では「取扱いが患者又は顧客からの個人データに関するものであり、個々の医師、その他の医療専門職又は法律家による場合、その個人データの取扱いは、大規模なものと判断されてはならない。そのような場合、データ保護影響評価は、義務ではない。」とある。P22を踏まえると、医師個人なら不要だが病院については実施しておいた方が良いだろう。また個人的なデータとして、日記、メール、ライフログアプリなどの例示あり。GMailなどを想定か。 - 大規模なデータの取扱い
- データセットの照合又は合成
- 立場の弱いデータ主体に関するデータ(前文75)
例)子供、従業者、逃亡希望者、高齢者、患者 - 新たなテクノロジー又は組織的ソリューションの革新的利用
例)指紋と顔認証の組み合わせ、IoT - データ取扱そのものが権利行使またはサービスや契約の利用妨げる場合(22条、前文91)
例)金融機関が貸付判断のために信用照会データベースでスクリーニングする場合
2つの基準に当たればDPIAを実施。1つでも実施すべき場合もある。
※個人情報保護委員会Webサイトが落ちてたりしてましたね。DPIAガイドラインへのアクセスは少ないと思うのですが、骨子発表の影響でしょうかね。
