ニュース

GDPR機密個人データガイド

2024年06月19日 トピックス ニュース

一般データ保護規則(GDPR)は、世界で最も厳格なデータ保護法のひとつです。EU域内の個人データの収集と処理に関する法的枠組みを規定しています。

GDPRは「特別カテゴリーの個人データ」(「センシティブ」とも呼ばれる)とその他の個人データを区別し、センシティブデータの収集と処理により厳しい要件を課しています。これらの違いを理解することは、貴社が要件を遵守し、重い罰則を回避するのに役立ちます。

この記事では、GDPRに従って「機微(センシティブ)」と見なされる個人データについて説明します。また、Matomoのようなウェブ解析ソリューションがコンプライアンスの維持にどのように役立つかを検証します。

機微な個人データとは?

以下のカテゴリのデータが機微データとして扱われます:

  1. 個人情報
    ・人種または民族的出身
    ・政治的見解
    ・宗教または哲学的信条
    ・労働組合への加盟
  2. 遺伝子および生体情報
  3. 個人に関するデータ
    ・健康
    ・性生活または性的指向

機微な個人データと非機微な個人データ: 何が違うのでしょうか?

どちらのカテゴリーにも個人に関する情報が含まれますが、機微(センシティブ)データは、よりプライベートで、より大きな保護が必要であると考えられています。

機微(センシティブ)なデータは、データが暴露された場合、データ対象者にとってより高いリスクと危害を伴うことが多いです。例えば、健康記録が暴露されるデータ漏洩は、関係者の差別につながる可能性があります。保険会社がその情報を使って保険料を値上げしたり、保険の適用を拒否したりする可能性があります。

対照的に、名前や性別のような個人データは、センシティブ・データと同程度の危害を伴わないため、それほどセンシティブではないと考えられています。

氏名への不正アクセスは、健康記録や生体情報への不正アクセスに比べ、その人に危害を加えたり、その人の基本的権利や自由を侵害したりする可能性は低いです。なお、金融情報(クレジットカード情報など)は特別なカテゴリーには含まれません。

処理の合法性

GDPRの下では、機微および非機微の個人データが保護されます。ただし、機微データの処理に関する規則と条件はより厳しくなっています。

第6条は機微でないデータの処理について規定し、6つの合法的な処理根拠のいずれかが適用される場合、処理は合法であると述べています。

対照的に、GDPR第9条は、非機微データの処理について規定しています。9では、機微(センシティブ)データの処理は原則として禁止されていますが、10の例外が規定されています。

第6条の合法的根拠は、第6条の例外とは異なることに留意することが重要です。6における合法的根拠は、Art. 9. 例えば、契約の履行または管理者の正当な利益は、機微でない個人データを処理するための合法的根拠ですが、第9条の例外には含まれません。9. つまり、管理者は、契約や正当な利益に基づいて機微(センシティブ)データを処理することは許されないということです。

機微(センシティブ)個人データの処理が許可される例外(追加要件あり)は以下の通りです:

  • 明示的な同意:EU加盟国がそのような同意を禁止している場合を除き、特定の目的のために機微(センシティブ)個人データを処理することに本人が明示的に同意している場合。明示的同意の詳細については、以下をご参照ください。
  • 雇用、社会保障または社会保護:雇用、社会保障または社会保護:雇用、社会保障または社会保護法に基づく業務を遂行するために機微(センシティブ)データの処理が必要な場合。
  • 重要な利益:データ対象者の利益を保護するため、またはデータ対象者が物理的もしくは法的に同意できない場合に、機微(センシティブ)データを処理する必要があります。
  • 非営利団体:政治的、哲学的、宗教的または労働組合的な目的を持つ財団、協会または非営利団体は、その目的に関連して、その会員またはその会員と定期的に接触している人々のセンシティブ・データを処理することができます(ただし、データ主体の同意がない限り、データの外部への開示は認められません)。
  • 公開:データ対象者が既にそのデータを公開し、アクセス可能な状態にしている場合 は、データ対象者のセンシティブ・データを処理することが許される場合があります。
  • 法的請求:法的または裁判手続を含む法的請求の確立、行使または防御のために必要なセンシティブデータの処理。
  • 公共の利益:違法行為の防止や公衆の保護など、実質的な公共の利益のために必要な場合。
  • 医療または社会的ケア:予防医療または産業医療、医療および社会的ケアの提供、医療診断、または医療システムの管理。
  • 公衆衛生:国境を越えた健康への脅威からの保護、医薬品や医療機器の安全性の確保など、公衆衛生のために機微(センシティブ)データを処理することは許されます。
  • アーカイブ、研究、統計:公益のためのアーカイブ目的、科学的または歴史的研究目的、統計目的であれば、機微(センシティブ)データを処理することができます。

さらに、GDPRが定めるすべてのデータ取り扱い要件を遵守する必要があります。

重要:送信されたデータを処理する場合は、必ずGDPR第6条に基づく合法的根拠を特定する必要があります。6. さらに、送信されたデータに機密データが含まれている場合は、Art. 9.

明示的同意

同意は機微でない個人データを処理するための有効な合法的根拠ですが、管理者はデータ主体の「明示的な同意」がある場合に限り、機微データを処理することが認められています。

GDPRは「明示的」同意を定義していませんが、GDPR第7条の同意の条件をすべて満たす必要があると認められています。7の同意条件をすべて満たしていなければならないとされています。明示的な」同意であるためには、データ対象者の明確な表明(口頭または書面)が必要です。データ主体の行動から推測される同意は、閾値を満たしません。

管理者は、明示的な同意の記録を保持し、データ主体がその権利を行使できるよう、適切な同意撤回方法を提供しなければなりません。

機微(センシティブ)データ処理の遵守例と非遵守例

機微(センシティブ)データを処理できる場合とできない場合の例を示します:

  • 機密データを処理できる場合 医師は、患者の名前、症状、処方された薬などの機密データを記録します。病院は、患者に適切な医療を提供するために、このデータを処理することができます。IoT機器、ソフトウェアメーカーは、顧客の明示的な同意に基づき、顧客の健康データを処理します。
  • センシティブなデータを処理できない場合:一例として、データ主体からの明示的な同意がない場合。また、データ処理に合法的な根拠がない場合や、単に必要のない個人データを収集している場合もあります。例えば、オンライン注文に対応するために顧客の民族的出身地は必要ありません。

機微(センシティブ)データ処理のその他の影響

特に大規模に機密データを処理する場合、GDPRは、データ・プライバシー影響評価(Data Privacy Impact Assessments)の実施、データ保護責任者(Data Protection Officer)の任命、EU域外に拠点を置く管理者の場合はEU代表者の任命などの追加要件を課します。

GDPR不遵守に対する罰則

センシティブなデータの取り扱いを誤ると(または許可されていないデータを処理すると)、巨額の罰則が課される可能性があります。GDPRの罰金には2段階あります:

  • 侵害の程度が軽微な場合、1,000万ユーロまたは年間売上高の2%
  • 侵害の程度がより重い場合、2,000万ユーロまたは年間売上高の4%

2023年上半期だけで、EUでGDPR違反により課された罰金は16億ユーロを超え、2019年の7300万ユーロから増加しました。

ここ数年の有名な違反の例としては、以下のようなものがあります:

  • アマゾン:ルクセンブルク国家委員会は2021年、GDPRに従って個人データを処理していなかったとして、小売大手に8億8700万ドルという巨額の罰金を科しました。
  • グーグル:グーグル 国家データ保護委員会(CNIL)は、パーソナライズされた広告を表示するための適切な同意を得ていなかったとして、グーグルに5000万ユーロの罰金を科しました。
  • H&M:ハンブルグのデータ保護・情報自由委員会は、多国籍衣料品会社であるH&Mに対し、同社のサービスセンターで従業員のデータを違法に収集・保管していたとして、2020年に3,530万ユーロの罰金を科しました。

罰金の重さに影響する基準のひとつは、処理される個人データの種類である「データカテゴリー」です。企業は機微(センシティブ)なデータには細心の注意を払う必要があり、そうでなければより厳しい罰則を受けるリスクがあります。

さらに、GDPR違反はブランドの評判に悪影響を及ぼし、データ慣行を懸念する消費者からのビジネスチャンスを失う可能性があります。消費者の76%が、個人データを信頼できない企業からは購入しないと回答しています。

企業は、自社のデータがどのように取り扱われているかを顧客が把握できるよう、データ慣行をわかりやすく説明し、この情報に簡単にアクセスできるようにする必要があります。

GDPRに準拠したウェブ解析を始めましょう

GDPRは、個人データを安全に保護するための枠組みを提供します。しかし、GDPRは機密データと非機密データを区別しています。これらの違いを理解し、このデータタイプを処理するための合法的根拠を適用することで、コンプライアンスを確保することができます。

GDPRに準拠したウェブ解析ソリューションをお探しですか?

AMatomoでは、データプライバシーに真剣に取り組んでいます。
当社のプラットフォームは、100%データの所有権を保証し、お客様がデータを完全に管理できるようにします。他のウェブ解析ソリューションとは異なり、お客様のデータはお客様のものであり、広告主に販売されたりオークションに出品されたりすることはありません。

さらに、Matomoでは、信頼性の高い、サンプリングされていないデータを提供しているため、お客様が受け取るインサイトの正確性に自信を持つことができます。

また、MatomoはGDPRやその他のデータプライバシー法(CCPALGPDなど)にも完全に準拠しています。

今すぐ21日間の無料トライアルを開始しましょう。

免責事項

私たちは弁護士ではありません。ここで提供する情報は、GDPRの入門に役立つものです。すべてのビジネスおよびウェブサイトがデータプライバシーを真剣に受け止め、懸念がある場合は弁護士に相談することをお勧めします。