データ プライバシーに関する規則

  • 4 分

世界中で、多くの法令によってデータ保護とプライバシーが扱われています。 最も広く適用されている 2 つのプライバシーに関する法律は、一般データ保護規則 2016/679 (GDPR) と、カリフォルニア州消費者プライバシー法 2018 年 (CCPA) です。

  • GDPR は、欧州連合 (EU) と欧州経済領域 (EEA) でのデータ保護とプライバシーを管理する規則です。
  • CCPA はカリフォルニア州のプライバシーに関する法律であり、米国で初めての包括的なプライバシーに関する法律です。

このユニットでは、GDPR の概念と用語、Microsoft がデータ プライバシー規則に対してどのようにサポートおよびコミットするかについて説明します。 次のユニットでは CCPA に関する詳しい情報を説明し、2 つの規則を比較します。

概要

GDPR は、欧州連合居住者に商品やサービスを提供する、またはその行動を観測する組織による個人データの使用と取り扱いを管理します。 この規則は、組織が収集した個人データを管理する特定の権利を個人にも与えます。 この規則は、組織の所在地に関わりなく適用されます。

Note

GDPR は、一見しただけではわからないほど広い範囲に適用されます。 他の一部の法域でのプライバシーに関する法律とは異なり、この規則は欧州連合に物理的に存在しない場合でも、あらゆる規模、あらゆる業界の組織に適用されます。 法務チームと緊密に連携して、この規則が自分たちの組織に適用されるか、される場合はどのように適用されるかを把握してください。

この規則の目的の 1 つは、個人の私的なデータのプライバシーと使用に焦点を当てることで、欧州連合居住者の個人データ保護を強化することです。 この規則は 1995 年に制定されたデータ保護指令が更新、および拡張されたもので、データ保護指令で確立された多くの原則を維持する一方で、個人データに対してさらに大きな抑制力を各個人に与えました。 この規則により、個人データの収集、取り扱い、または分析を行う組織に対して多数の新しい責務が課されています。

GDPR のコンテキストでは、データにはデータ収集から始まり、データ ストレージ、処理、使用を継続し、システムからのデータ削除で終わるライフサイクルがあります。 この規則ではデータ処理要件が定められており、それらの実現方法に関するアドバイスも提示されています。 また、規制当局はこの法律に違反した組織に対して莫大な罰金を課す、新しい権限を有しています。 GDPR は 2018 年 5 月に施行されました。

概念と用語

この規則を理解するには、次の概念と用語が重要です。

  • 個人データとは、識別された、または識別できる自然人に関連するデータです。 個人データとは、識別できる個人に結びついた、または結びつけられるデータです。 個人データの一般的な例としては、名前、住所、生年月日、IP アドレスなどがあります。 "匿名の" 情報については、それがいかに曖昧で技術的なものであるかに関わらず、その情報が個人と結びつけられている場合は、それもまた個人データと見なされます。

  • 機密性の高い個人データとは、人種的または民族的な素姓、政治的見解、宗教的または哲学的な信念、もしくは労働組合のメンバーシップが明かされる個人データです。 機密性の高い個人データには、遺伝子データ、自然人を識別する生体認証データ、健康に関するデータ、または自然人の性生活や性的指向に関するデータも含まれます。 このデータを処理することには、より大きな責務が伴います。

  • 管理者とは、個人データを処理する目的と方法を単独でまたは他の者と共同で決定する、自然人または法人、公的機関、部局、またはその他の組織です。 処理の目的と手段は、管理者によって、欧州連合法か加盟国の国内法によって、または欧州連合法か加盟国の国内法で制定された特定の基準によって決定されます。

  • 処理者とは、管理者の代理として個人データを処理する自然人または法人、公的機関、部局、またはその他の組織です。

  • 処理の法的根拠とは、組織が個人データを処理する法的根拠を示すことができる必要があることを意味します。 処理には、次の 6 つの法的根拠があります。

    • 契約を履行するために処理が必要な場合。
    • 個人が自分に関するデータの処理に同意した場合。
    • 処理が組織の正当な利益であり、かつ個人の権利がその利益を上回らない場合。

  • データ主体の権利とは、組織または管理者による個人データの使用に関して、個人に特定の権利を与えるものです。 特定の状況下において、個人は組織が保存、処理、送信する個人データに対して、次のデータ主体の要求 (DSR) を提出できます。

    • データへのアクセス。 個人には、組織が自分に関するデータを処理しているかを知る権利があり、処理している場合はそのデータにアクセスする権利を有します。
    • データの訂正を要請する。 個人は企業に対して、自分に関する不正確なデータの修正を要求できます。
    • データの削除依頼。 "消去権" とも呼ばれるこの権利により、個人は企業に対して、収集された自分に関する個人データの削除を要求できます。
    • 限定的な処理を要求する。 個人は企業に対して、自分に関するデータを処理しないように、または処理を制限するように依頼できます。
    • データの移植要求。 個人は、自分のデータを別の企業または処理システムに移行することを要請できます。
    • オブジェクト。 個人は、自分のデータがダイレクト マーケティングを含むさまざまな用途に使用されることに異を唱えることができます。
    • プロファイリングを含め、自動的な意思決定の対象としないことを依頼します。 人々をプロファイリングする目的でのデータ使用、および自動処理のみに基づいた決定については、厳格な規則が定められています。

Microsoft のサポート

Microsoft は、プライバシーは基本的な権利であると考えており、個人にプライバシーの権利をもたらし、かつその保護を支援する規則をサポートしています。 Microsoft は規制コンプライアンスに対して責任をもって取り組んでおり、顧客がコンプライアンスの責務を遵守できるように支援する多くの製品、機能、リソースを用意しています。

組織や開発者など、Microsoft のオンライン サービスを使用する処理者は、管理者の代わりでのみ個人データを処理する必要があります。 管理者は、コンプライアンス要件を遵守するために十分な保証を規定する必要があります。

任命された欧州連合 DPO

Microsoft では、エンジニアリングおよびビジネス グループに対して、独立したアドバイザーである欧州連合データ保護責任者 (DPO) が任命されています。 DPO は、すべての提案された個人データの処理が、EU の法的要件と Microsoft の企業基準を確実に満たせるように支援します。 DPO の役割の目的は、GDPR 第 37-39 条で定められている条件を満たすことです。

EU DPO は、Microsoft の企業行動および法務部門の上級管理職である個人情報保護管理責任者の直属です。 DPO 役割には、独立した公平な立場で職務を遂行するための自主性が与えられています。 最高個人情報責任者の組織を通じて、DPO はその責務を果たすために必要なトレーニング、および顧客対応のリソースを利用できます。

コミットメントと条件

Microsoft の使用条件には、GDPR 第 28 条で処理者に課される、次のコミットメントが反映されています。 Microsoft では将来を見越して、これらのコミットメントをサブスクリプション契約の一部としてすべてのオンライン サービスの顧客に、またエンタープライズ契約の一部としてボリューム ライセンスの顧客に提供しています。

  • 管理者の同意を得た場合のみ副処理者を起用し、副処理者に対して引き続き責任を負います。
  • 転送を含む個人データの処理は、管理者からの指示のみに従って行います。
  • 個人データを処理する人々が確実に秘密保持に責任を持つようにする。
  • 個人データに関して、リスクに見合った水準のセキュリティを確保できるよう、適切な技術的および組織的な対策を実施する。
  • 個人データの権利を行使するというデータ主体からの要求に応じるために、管理者が責務を果たせるように支援します。
  • 規則の違反通知要件および支援要件を遵守します。
  • データ保護影響評価と、監督機関との相談に関して、コントローラーを支援する。
  • サービス提供の終了時に、個人データを削除または返却する。
  • コンプライアンスの証拠に関して、管理者を支援します。