GDPR上の各ツールと他のメカニズムとの比較
GDPRは、データの管理者と処理者に対し、適切な保護措置を提供し、コンプライアンスを支援するために利用できる4つの主要な手段、すなわち認証、行動規範(CC)、拘束的企業準則(BCR)及び標準契約条項(SCC)を正式に認めています。それぞれの特徴と限界を比較してみましょう。
データ保護バイデザイン及びデータ保護バイデフォルト
これは、文書化・証明が最も困難な法的義務の1つです。認証は、GDPR第25条に定めるとおり、この要件の「充足を証明するため」に認められた唯一の手段です。
データ管理者の十分性の証明
GDPR第24条は、データ管理者の義務を明確にしています。同条は、その遵守を証明するための2つの手段として、認証と行動規範(CC)を挙げています。
選択されたデータ処理者の十分性の証明
GDPR第28条に基づき、「管理者は、適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用い」なければなりません。管理者は、データ処理者による潜在的な違反や不遵守に対して責任を負い、賠償の義務を負います。データ管理者は、データ処理者に対するデータ共有の前に、データ処理者が実施している効果的な措置について、完全な評価を実施することが期待されています。幸いなことに、本条項は、このような十分性を評価するための2つの手段として、認証と行動規範(CC)を認めらいます。
安全管理措置の十分性の証明
GDPR第32条は、十分な水準の安全性確保を要求しています。処理者に関するものと同様に、認証と行動規範(定期的な監査を伴うもの)を、そのための手段として認めています。
制裁金への影響
GDPR第83条は、不遵守があった場合、制裁金の金額を決定する際に、管理者又は処理者によって認証又は行動規範(CC)が採用されているか否かを考慮することを求めています。さらに、認証及び行動規範(CC)は、不遵守のリスクを大幅に軽減するのに役立ちます。
利用可能性
良いニュースは、認証基準とSCCが承認され、現在利用可能であることです。行動規範(CC)の採用には、相当な努力が必要です。また、業界団体などを通じて、十分な数の代表企業を結集し、行動規範(CC)を策定・実装し、承認を得る必要があります。この手続きには数年を要する可能性があります。同様に、拘束的企業準則(BCR)を採用する場合も、当局の承認が必要です。この手続きにも数年を要する可能性があり、BCRは正式に同一企業グループに属する法人間でのみ使用可能です(例えば、データ処理者には使用できません)。
普遍性
SCCやユーロプライバシーといったGDPR認証は、業界に依存することなく、すべてのデータ管理者と処理者が利用可能です。他の認証は、データ処理者のみ、あるいは、特定の評価対象に限定されている場合があります。拘束的企業準則(BCR)は企業ごとの仕組みであり、行動規範(CC)は業界特有のものであるため、データを共有するデータ管理者と処理者は異なる行動規範(CC)の適用を受ける可能性があります。例えば、おもてなしサービス(ホテルなど)向けに設計された行動規範(CC)は、宿泊施設を顧客とする会計事務所のようなサービス提供者には適していないといったことがあります。
時間と労力
既にGDPRを遵守している企業を前提として、必要な時間と労力はツールごとに異なります。SCCは、両当事者が契約条件を交渉し、合意する必要があります。企業が単一のB2Bパートナーを有する場合、最も迅速なツールです。ただし、単一の認証は無限のデータ管理者及び処理者と利用可能な一方で、SCCはデータを共有するすべてのパートナーと個別に締結・署名する必要があります。
柔軟性と適応性
一部のツール(BCR、CC)は企業全体の要件に焦点を当てている一方で、他のツール(認証、SCC)は特定のデータ取扱活動に焦点を当てています。前者は、より高い水準での遵守を確保する必要があります。後者は、企業が優先すべきデータ取扱いにリソースを集中させ、優先順位の高いものから取り組むことを可能にします。
信頼性
信頼性のレベルは、ツールの性質によって異なります。例えば、SCCは、組織が締結する拘束力のある合意ですが、その履行状況の監査や管理は行われません。一方、認証は、認定された監査人による定期的な第三者監査に依存しています。信頼性レベル・スケール(Trust Level Scale(TSL))は、実効的なコンプライアンスに対する信頼度を評価するために、「A」(非常に信頼性が高い)から「I」(全く信頼できない)までの等級を定義しています。この等級を4つのツールに適用した場合、SCCは「F」、認証は「A」と、信頼性のレベルには大きな違いがあります。
価値創造
すべてのツールはコンプライアンスを支援します。しかし、そのうちの1つである認証は、コンプライアンスを企業の無形資産に変換することを可能にします。特許のように、認証は企業の無形資産を構成します。コンプライアンスを価値創造の源泉に変換します。マーケティング及び営業チームが競争優位性として活用できます。また、財務アナリスト、投資家及び株主との不確実性を軽減するためにも使用可能です。
次の表は、4つのツールの特性をまとめたものです。
| SCC | BCR | CC | 認証 | |
|---|---|---|---|---|
| GDPR第25条に基づくデータ保護バイデザイン及びデータ保護バイデフォルトの証明 | いいえ | いいえ | いいえ | はい |
| GDPR第24条に基づくデータ管理者の十分性の証明 | いいえ | いいえ | はい | はい |
| GDPR第28条に基づく選択されたデータ処理者の十分性の証明 | いいえ | いいえ | はい | はい |
| GDPR第32条に基づくデータ処理の安全性の証明 | いいえ | いいえ | はい | はい |
| 普遍性(業界を横断する適用性) | はい | いいえ | いいえ | はい |
| 無形資産としての価値 | いいえ | いいえ | いいえ | はい |
| 優先的なデータ取扱いの選択と集中の可能性 | はい | いいえ | いいえ | はい |
| GDPR第83条に基づく制裁金への影響 | いいえ | いいえ | はい | はい |
| スケーラビリティと拡張可能性(すべてのB2Bパートナーと共通で使用可能) | いいえ | はい | はい | はい |
表が示すように、認証は多くの利点を有する最も強力なツールです。これは、GDPR上、各ツールに対する正式な言及の頻度によっても確認されています。
- 認証は、12の条項で73回言及されています。
- 行動規範(CC)は、10の条項で36回言及されています。
- 拘束的企業準則(BCR)は、7の条項で25回言及されています。
- 標準契約条項(SCC)は、2の条項で7回言及されています。
結論
GDPR上の各ツールは、効果的なコンプライアンスにおいて異なるメリットと信頼性のレベルを提供します。DPOは、雇用者のニーズに最も適したツールを評価・選択する責任があります。本分析が、比較・選択に役立つことを願っています。
コンプライアンスを確認・文書化していれば、ツールを変更することや、あるいは、複数のツールを組み合わせることは比較的簡単にできます。
参照
| 手段 | GDPR上の言及回数 | 条文 | 前文 |
|---|---|---|---|
| 標準契約条項(SCC) | 7 | 28, 57 | 81, 109, 168 |
| 拘束的企業準則(BCR) | 25 | 4, 46, 47, 49, 57, 58, 64, 70 | 107, 108, 110, 168 |
| 行動規範 | 36 | 24, 28, 32, 35, 40, 41, 46, 57, 58, 64, 70, 83 | 77, 81, 98, 99, 148, 168 |
| 認証 | 73 | 24, 25, 28, 32, 42, 43, 46, 57, 58, 64, 70, 83 | 77, 81, 100, 166, 168 |