コロナウイルス(Covid-19)とGDPR (4)-欧州データ保護委員会

まずは、ロンドンを訪問するときは、いつもインタビューとかをしてお世話になっているCordery事務所も、コロナウイルスとデータ保護についてのクライアント・アラートを公表しています。具体的な内容については、個々の論点のときにみていくことににしますが、最後に、40国(人も入っています)のデータ保護当局のコロナウイルス対応についてのガイダンスの一覧がついています。

このエントリでは、欧州データ保護委員会の動きをみます。

同委員会は、3月16日に、「Covid-19の感染爆発の文脈における個人データの取扱いに関する欧州データ保護委員会議長のステートメント」を出しています。

このステートメントは、最初に欧州データ保護委員会(EDPB)のアンドレア・イェリネク委員長は次のように述べています、として

データ保護規則(GDPRなど)は、コロナウイルスのパンデミック対策を妨げるものではありません。しかし、このような例外的な時期であっても、データ管理者はデータ主体の個人データの保護を確保しなければならないことを強調しておきたい。したがって、個人データの合法的な処理を保証するために、多くの考慮事項を考慮する必要があります。

と述べています。このステートメントの以下の部分は、3月19日のフォローアップでも論じられているので、以下で検討しましょう。

3月19日に、さらに追加の宣言を出しています。タイトルは、「Covid-19の感染爆発の文脈における個人データの取扱いに関するステートメント(Statement on the processing of personal data in the context of the COVID-19 outbreak. )」です。 https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf)。

このステートメントは、1 取扱いの適法性、2 個人テータの取扱いにおける中心原則、3 モバイル移動データの利用、4 雇用、に分けて論じられています。

このうち、3と4については、各論でふれることにして、1と2についてふれると以下のようになります。

1 取扱いの適法性

GDPRは幅広い法規制であり、COVID-19に関連するもののような文脈での個人データの取扱いについて提供しうるルールを規定しています。GDPRは、権限のある公的保健当局や雇用主が、疫病抑止の文脈において、国内法に準拠し、そこに定められた条件の範囲内で個人データを取り扱うことを許容している。例えば、公衆衛生の分野における実質的な公共の利益のために処理を行うことが必要とされる場合、それらの下で状況によっては、個人の同意に頼る必要はありません。(略)

2 個人データの処理に関する基本原則
利用目的の達成に必要な個人情報は、特定され明示的な目的の達成に必要な範囲内で取り扱うものとします。

さらに、データ主体は、実施中のデータの取扱いと(収集したデータの保存期間/処理の目的を含む)主な特徴に関する透明性の高い情報を受け取るべきである。提供される情報は、容易にアクセス可能であり、明確に提供されなければならない と平易な言葉を使うことが大切である。

データが不正に開示されないことを確かにするために適切なセキュリティ対策と機密保持ポリシーを採用することが重要です。現状の緊急時を管理するために実施している対策とその基礎となる意思決定プロセスは、適切に文書化されるべきである。

むしろ、これらの総合的な見方が、具体的な論点でどのように展開されるのか、また、我が国での議論等の動向は、どのように展開するのか、というのは、次のエントリで検討していくことになります。