📋
概念 #GDPR #アカウンタビリティ #立証責任 #Article 5(2) #DPO #ICO #文書化 📚 GDPRデータ最小化原則

アカウンタビリティと立証責任(GDPR Article 5(2))

最小化遵守を「証明できる」義務。立証責任の転換・DPO の役割・文書化が証拠になる仕組み

アカウンタビリティ原則とは

UK GDPR Article 5(2):

「コントローラーは第1項の遵守に責任を負い、かつそれを証明できなければならない」

立証責任の転換:GDPR 以前は監督機関が違反を証明した。GDPR ではコントローラーが遵守を証明する

GDPR 以前:
  監督機関「この処理は違法だ」と証明する責任 → 監督機関側

GDPR 以後:
  コントローラー「この処理は適法だ」と証明する責任 → コントローラー側

なぜ最小化専門家がアカウンタビリティを知るべきか

最小化原則に限らず、GDPR の全7原則は「遵守している」だけでは不十分。 「遵守していることを証明できる」 状態が求められる。

「やっていたつもり」では不十分:
  データ最小化を実践していた → でも文書化していなかった
    → 検査時に証明できない → アカウンタビリティ違反

文書化が証拠になる構造

最小化遵守を証明する文書の連鎖:

RoPA(Article 30)
  └─→ 「どのデータを、なぜ、どれだけ持っているか」の記録

DPIA(Article 35)
  └─→ 高リスク処理について「必要性・比例性を評価した」証拠

プライバシーポリシー・通知(Article 13/14)
  └─→ 本人に目的・保持期間等を適切に通知した証拠

保持スケジュール
  └─→ 「いつ削除するか決めていた」証拠

削除実行ログ
  └─→ 「実際に削除した」証拠

DPO の助言・レビュー記録
  └─→ 「専門家が関与してチェックした」証拠

アカウンタビリティフレームワークの要素

ICO が示す「アカウンタビリティの証拠」:

1. リーダーシップとガバナンス
   ├── 上級管理職がデータ保護に責任を持つ体制
   └── DPO の任命(義務がある場合)と独立性の確保

2. ポリシーとプロセス
   ├── データ保護ポリシーの策定・周知
   ├── インシデント対応手順
   └── 新処理導入時のレビュープロセス(Privacy by Design)

3. 記録の維持
   ├── RoPA(処理活動記録)
   ├── DPIA の実施記録
   ├── 同意の取得・管理記録
   └── 権利行使リクエストの対応記録

4. 研修・意識向上
   ├── 全従業員向けデータ保護研修
   └── 研修実施の記録

5. サードパーティ管理
   ├── 処理者との Article 28 契約(DPA: Data Processing Agreement)
   └── サードパーティのセキュリティ・コンプライアンス評価

DPO(データ保護責任者)の役割

Article 37 による DPO 任命が義務となる条件:

・公的機関・団体(一部除く)
・大規模な特別カテゴリデータの定期的処理
・大規模な犯罪記録データの処理
・大規模な体系的監視を行う場合

DPO の独立性が重要:

DPO の役割:
  ├── GDPR 遵守状況の監視
  ├── 処理のリスク評価への助言
  ├── DPIA の支援・レビュー
  ├── 監督機関・データ主体との窓口
  └── 研修の実施・調整

DPO であってはいけないこと:
  ├── 処理活動に関する意思決定(COO・CTO 等は利益相反)
  └── 報告・発言を制限されること(独立性の確保が義務)

監査とサードパーティ管理(Article 28)

処理者(Processor)への委託が増える現代において、アカウンタビリティは組織内に留まらない:

Article 28 の要件(コントローラーとプロセッサーの契約):
  必須記載事項:
  ├── 処理の対象・期間・性質・目的
  ├── 個人データのカテゴリとデータ主体
  ├── サブプロセッサー利用の承認プロセス
  ├── コントローラーの指示に従う義務
  ├── データ主体の権利行使への支援義務
  └── 処理終了後の消去または返還義務

コントローラーの責任:
  プロセッサーが GDPR を遵守しなかった場合でも
  コントローラーが最終的な責任を負う
  → 契約だけでなく定期的な監査・確認が必要

制裁金とアカウンタビリティ

GDPR の制裁金(Article 83):

  最大 2,000 万ユーロ または 全世界年間売上高 2% (いずれか高い方):
    - 子ども向けコンテンツのデータ保護
    - プロセッサーの義務不履行 等

  最大 4,000 万ユーロ または 全世界年間売上高 4% (いずれか高い方):
    - 基本原則の違反(最小化・目的限定等、Article 5)
    - 法的根拠なき処理(Article 6)
    - データ主体の権利侵害 等

軽減要素(Article 83(2)):
  アカウンタビリティの証拠が有効
  ├── 違反を早期発見・報告した
  ├── 軽減措置を即座に講じた
  └── 過去のコンプライアンス記録が良好

実践的チェックリスト

アカウンタビリティの自己評価:
  □ RoPA は全処理活動を網羅し、定期更新されているか
  □ 高リスク処理に DPIA を実施し、記録を保管しているか
  □ 新処理を開始する前に Privacy by Design レビューをしているか
  □ 全従業員がデータ保護研修を受け、記録が残っているか
  □ プロセッサーとの Article 28 契約が締結されているか
  □ 権利行使リクエストの受付・対応記録を保管しているか
  □ インシデント発生時の 72 時間報告対応手順があるか
  □ 保持スケジュールがあり、削除が実際に実行されているか

関連トピック

📚 GDPRデータ最小化原則 10件
  1. 1. 🔒データ最小化原則 概観(GDPR Article 5(1)(c))
  2. 2. ⚖️データ最小化の3要件テスト(adequate・relevant・necessary)
  3. 3. 🎯目的限定原則(Purpose Limitation)
  4. 4. 📅保存期限限定原則(Storage Limitation)
  5. 5. 🏗️プライバシー・バイ・デザイン(Privacy by Design & Default)
  6. 6. 🎭仮名化と匿名化(Pseudonymisation & Anonymisation)
  7. 7. 🔍データ保護影響評価(DPIA)
  8. 8. 🗂️処理活動記録(RoPA)とデータマッピング
  9. 9. 👤データ主体の権利と最小化
  10. 10. 📋アカウンタビリティと立証責任(GDPR Article 5(2))

出典: ICO - Accountability Framework / GDPR Article 5(2) / Article 24