個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則
Table of Contents
第1章 総則
第1条 対象事項と目的
- 本規則は、個人データの取扱いに係る自然人の保護に関する規定及び個人データの自由な流通に関する規定を定める。
- 本規則は、自然人の基本的権利及び自由、並びに、特に彼らの個人データ保護の権利を保護する。
- EU 域内の個人データの自由な移動は、個人データの取扱いに係る自然人の保護に関連する理由によって、制限又は禁止されてはならない。
第2条 実体的範囲
- 本規則は、全部又は一部が自動的な手段による個人データの取扱いに適用される。ファイリングシステムの一部である、又はファイリングシステムの一部にすることが意図された個人データの自動的な手段以外の取扱いにも適用される。
- 本規則は、次に掲げる個人データの取扱いには適用されない。
- EU法の適用を受けない活動における個人データの取扱い。
- EU条約、第5 編第2 章の適用を受ける活動を行う際の加盟国による個人データの取扱い。
- 全面的に個人的な又は家庭内の活動における自然人による個人データの取扱い。
- 公共の安全への脅威に対する保護及び防止を含む、犯罪の防止、捜査、探知、起訴、又
は刑事罰を科すために所管官庁が行う個人データの取扱い。
- EU機関、団体、事業体及び行政機関による個人データの取扱いに関しては、規則 (EC) No 45/2001 が適用される。規則 (EC) No 45/2001 及び個人データの当該取扱いに適用可能な他のEU法令は、第98 条に従って本規則の原則及び規定に適合されなければならない。
- 本規則は、指令2000/31/EC の適用を妨げるものではない。特に、当該指令の第12 条から第15条における仲介サービス・プロバイダーの責任に関する規則の適用を妨げるものではない。
第3条 地理的範囲
- 本規則は、EU 域内の管理者又は取扱者の事業所の活動に関連してなされる個人データの取扱
いに適用される。この場合、その取扱いがEU 域内又は域外でなされるか否かについては問わ
ない。 - 本規則は、EU 域内に拠点のない管理者又は取扱者によるEU 在住のデータ主体の個人データの取扱いに適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる。
- EU 在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない。
- EU 域内で行われるデータ主体の行動の監視に関する取扱い。
- 本規則は、EU 域内に拠点を持たない管理者による個人データの取扱いにも適用されるが、国際公法により加盟国の国内法が適用される場所にある管理者による取扱いの場合に限られる。
第4条 定義
本規則において、
- 「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得る者をいう。
- 「取扱い」とは、自動的な手段であるか否かにかかわらず、個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正又は変更、復旧、参照、利用、移転による開示、周知又はその他周知を可能なものにすること、整列又は結合、制限、消去又は破壊することをいう。
- 「取扱いの制限」とは、将来の個人データの取扱いを限定する目的で、保存された個人データに留意することをいう。
- 「プロファイリング」とは、自然人に関するある一定の個人的な側面を評価するために、特に、自然人の業務実績、経済状況、健康、個人的嗜好、興味、信頼、行動、所在又は移動に関連する側面の分析又は予測をするためになされる、個人データの利用から成る個人データのあらゆる形態の自動的な処理をいう。
- 「仮名化」とは、追加の情報が分離して保管され、識別された又は識別され得る自然人に個人データが帰属しないことを保証する技術的及び組織的措置をとることによって、当該追加の情報を利用せずに個人データがもはや特定のデータ主体に帰属しないような方法で、個人データを処理することをいう。
- 「ファイリングシステム」とは、機能的又は地理的にみて、集結、分散、あるいは拡散されているか否かを問わず、特定の基準に従ってアクセスできる、あらゆる構造化された個人データの集合をいう。
- 「管理者」とは、単独で又は他と共同して、個人データの取扱いの目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体をいう。当該取扱いの目的及び手段がEU法又は加盟国の国内法によって決定される場合には、管理者又は管理者の指定に関する特定の基準は、EU 法又は加盟国の国内法をもって定めることができる。
- 「取扱者」とは、管理者のために個人データの取扱いを行う自然人、法人、公的機関、行政機関又はその他の団体をいう。
- 「取得者」とは、第三者であるか否かにかかわらず、データの開示を受ける自然人、法人、公的機関、行政機関又はその他の団体をいう。ただし、EU 法又は加盟国の国内法に従って特定の調査の枠内で個人データを取得する公共機関は、取得者とみなされない。これら公共機関による当該データの取扱いは、取扱いの目的に応じて適用されるデータ保護規定に従わなければならない。
- 「第三者」とは、データ主体、管理者、取扱者及び管理者又は取扱者の直接の職権下でデータを取り扱う権限を与えられている者以外の自然人、法人、公的機関、行政機関又はその他の団体をいう。
- データ主体の「同意」とは、強制を受けず、、特定的に、情報提供を受けたうえでかつ曖昧でないデータ主体の意思表示であることを意味する。その意思は、当該データ主体が、宣言又は明らかな積極的行為によって、自己に係る個人データの取扱いに合意(agreement)して表すものとする。
- 「個人データ侵害」とは、移転、保存又はその他の取扱いがなされた個人データに対する偶発的又は違法な破壊、滅失、変更、許可されていない開示又はアクセスをもたらすセキュリティ侵害をいう。
- 「遺伝データ」とは、自然人の生理機能又は健康に関する固有の情報を与え、特に当該自然人からの生物的サンプルの分析から得られる、継承又は獲得した自然人の遺伝的特性に関わる個人データをいう。
- 「生体データ」とは、顔画像又は指紋確証データのように、当該自然人に特有の識別性を認められる又は確かめられる、自然人の身体的、生理的又は行動的特性に関する特定の技術的処理から得られる個人データをいう。
- 「健康に関するデータ」とは、医療サービスへの提供状況を含む健康状態についての情報を明らかにする自然人の身体的又は精神的な健康に関する個人データをいう。
- 「主たる事業所」とは
- 複数の加盟国において事業所を持つ管理者についていえば、EU 域内において中央本部がある場所をいう。ただし、個人データの取扱いの目的及び手段の決定がEU 域内の管理者の他の事業所で行われておらず、当該他の事業所が当該実施決定に権限を持っていない場合に限る。この場合、当該決定が行われる事業所が主たる事業所と考えられるためである。
- 複数の加盟国において事業所を持つ取扱者についていえば、EU 域内の中央本部がある場所をいう。ただし、取扱者がEU 域内に中央本部を持たない場合には、取扱者が本規則に基づく特定の義務に服する範囲で、取扱者の事業所の活動に関連する主な取扱い活動が行われているEU 域内の取扱者の事業所をいう。
- 「代理人」とは、第27 条により管理者又は取扱者によって書面で指名され、本規則に基づく管理者又は取扱者の各々の義務に関して彼等の代理をするEU 域内におかれた自然人又は法人をいう。
- 「事業者」とは、法律上の形式を問わず、経済活動に従事している共同経営会社又は組織を含む経済活動に従事している自然人又は法人をいう。
- 「事業体グループ」とは、統轄事業体及びその統轄下にある事業体をいう。
- 「拘束的企業準則」とは、事業体グループ又は共同経済活動に従事する事業者グループ内で、一カ国又は複数の第三国における管理者又は取扱者に対して個人データ移転又は一連の個人データ移転のため、加盟国の領域上にある管理者又は取扱者によって遵守される個人データ保護方針をいう。
- 「監督機関」とは、第51 条により加盟国によって設立された独立した公的機関をいう。
- 「関係監督機関」とは、次に掲げるいずれかの事由により、個人データの取扱いに関係する監督機関をいう。
- 管理者又は取扱者が当該監督機関の加盟国の領域内に存在する。
- 当該監督機関の加盟国に居住するデータ主体が、当該取扱いによって実質的に影響を受けているか、又は実質的に影響を受け得る。
- 当該監督機関に苦情が申し立てられている。
- 「越境的取扱い」とは、次に掲げる事項のいずれかをいう。
- 管理者又は取扱者が複数加盟国で存在する場合、EU 域内の管理者又は取扱者の複数加盟国における事業所の活動に関連して行われる個人データの取扱い。
- EU 域内の管理者又は取扱者の単一の事業所の個人データの取扱いであるが、複数加盟国のデータ主体に実質的に影響を及ぼすか、又は影響を及ぼし得るような活動に関連して行われる個人データの取扱い。
- 「適切かつ合理的異議申立て」とは、本規則違反があるか否か、又は管理者若しくは取扱者による予定された行動が本規則に遵守しているか否かということに関して、データ主体の基本的権利及び自由並びに、適用がある場合、EU 域内の個人データの自由な移転に関する決定案によって提起されるリスクの重大性を明白に証明した不服申立てをいう。
- 「情報社会サービス」は欧州議会及び理事会の指令(EU) 2015/1535 の第1 条第1 項(b)で定義されたサービスをいう。
- 「国際組織」とは、国際公法によって規律されている組織及びその下部組織又は、二カ国以上の国家間の協定によって組織される若しくは右規定に基づくその他団体をいう。
第2章 諸原則
第5条 個人データの取扱いに関する原則
- 個人データは、
- データ主体との関係において、適法、公正かつ透明性のある手段で取り扱われなければならない。(適法性、公正性及び透明性の原則)
- 特定された、明確かつ適法な目的のために収集されなければならず、これら目的と相容れない方法で更なる取り扱いがなされてはならない。ただし、公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための更なる取扱いは、第89条第1項により、当初の目的と相容れない方法とはみなされない。(目的の限定の原則)
- 取り扱われる目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。(データの最小化の原則)
- 正確であり、必要な場合には最新に保たなければならない。取り扱われる目的に照らして、不正確な個人データが遅滞なく消去又は訂正されるのを確保するため、あらゆる合理的な手段が講じられなければならない。(正確性の原則)
- 当該個人データが取り扱われる目的に必要な期間を超えない範囲で、データ主体の識別が可能な状態で保存されなければならない。個人データは長期間保存されてもよいが、個人データが第89条第1項に従った公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的だけに取り扱われることに限るものとし、データ主体の権利と自由を保護するため本規則によって求められる適切な技術的及び組織的対策の実施を条件とする。(保存の制限の原則)
- 当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。それは、無権限の又は違法な取扱いに対する保護、及び偶発的な滅失、破壊、又は損壊に対する保護を含むものとし、適切な技術的又は組織的対策を用いるものとする。(完全性及び機密性の原則)
- 管理者は第1 項の義務を負い、その遵守を証明可能にしなければならない。(アカウンタビリティの原則)
