あけましておめでとうございます。@_natこと崎村夏彦です。2011年の新春特別企画で
プライバシー上の大きな転換点となった2019年
2019年は,
また,
海外に目を転ずると,
2020年もこれに引き続き重要な規格が目白押しとなっています。
- ※1
- ISO/
IEC 27701 Security techniques — Extension to ISO/ IEC 27001 and ISO/ IEC 27002 for privacy information management — Requirements and guidelines。なお, 出版直前まで, 文書番号は27552であったため, 解説などはその番号で行われているものも多い。
プライバシー通知と同意
さて,
このハードルとは,
- データ主体が,
一つ又は複数の特定の目的のための自己の個人データの取扱いに関し, 同意を与えた場合。 - データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合,
又は, 契約締結の前に, データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。 - 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
- データ主体又は他の自然人の
生命に関する利益を保護するために取扱いが必要となる場合。 - 公共の利益において,
又は, 管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。 - 管理者によって,
又は, 第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし, その利益よりも, 個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合, 特に, そのデータ主体が子どもである場合を除く。
出所:GDPR第6条
この
- ※2
- ISO/
IEC FDIS 29184 Information technology — Online privacy notices and consent。プロジェクト・ リーダーは筆者とインドのInfosysのCPOのスリニヴァス・ プーサラ氏およびベルギーの独立系コンサルタントのクリストフ・ ステヌイ氏。
ISO/
- いわゆる
「プライバシー・ ポリシー」 である 「プライバシー・ ノーティス (通知)」に何を書くべきか, - それに基づいて同意を取得するには何をすべきか,
- データの取扱を変更するときには何をすべきか
個人情報を扱う上で
- ※3
- この系統のISOの文書において,
プライバシー・ ポリシーは, 組織の内部で個人情報をどのように扱うべきかのポリシーを定めた文書のことを指します。個人を始めとする外部に公表する文書は 「プライバシー通知 (privacy notice)」と呼んで区別しています。 - ※4
- 日本においては適法性の根拠として(f)の
「正当な利益」 がありません。産業界は, 個人情報の範囲を制限するように要求するのではなく, 適法性の根拠としての 「正当な利益」 を要求すべきであると筆者は考えています。