GDPRの各手段と他のメカニズムとの比較
GDPRは、データ管理者と処理者が適切な保証を提供し、遵守を支援するために利用できる4つの主要な手段を正式に認めています:認証、行動規範、企業拘束規則、および標準契約条項。それぞれの特徴と限界を比較してみましょう:
設計およびデフォルトによるデータ保護
これは、文書化および実証するのが最も難しい法的義務の1つです。認証は、GDPR第25条で「この要件に準拠していることを示す」ために認められた唯一の手段です。
データ管理者の適切性の実証
GDPR第24条は、データ管理者の義務を明確にしています。この遵守を証明するための2つの手段として、認証と行動規範が言及されています。
選択されたデータ処理者の適切性の実証
GDPR第28条では、「管理者は、適切な技術的および組織的措置を実施するための十分な保証を提供する処理者のみを使用しなければならない」と規定されています。管理者は、データ処理者による潜在的な違反や不遵守に対して責任を負います。データを共有する前に、データ処理者が実施している効果的な措置を完全に評価することが期待されています。幸いなことに、この条項では、認証と行動規範の2つの手段が適切性を評価するために認められています。
セキュリティ対策の適切性の実証
GDPR第32条は、適切なレベルのセキュリティを確保することを要求しています。処理者と同様に、認証と行動規範(定期的な監査を含む)を「0」として認めています。
行政罰への影響
GDPR第83条は、不遵守の場合に、管理者または処理者が採用した認証または行動規範を考慮に入れることを義務付けています。さらに、認証と行動規範は、不遵守のリスクを大幅に軽減するのに役立ちます。
利用可能性
良いニュースは、認証基準と標準契約条項(SCC)が承認され、そのまま利用可能であることです。行動規範を採用するには、相当な努力が必要です。また、協会を通じて代表的な数の企業を動員し、行動規範を開発、実施、承認を得る必要があります。このプロセスには数年かかる場合があります。企業拘束規則(BCR)を採用するにも、当局の承認が必要です。このプロセスにも数年かかる場合があり、同じ企業グループに正式に属するエンティティのみが使用できます(例えば、そのデータ処理者は使用できません)。
普遍性
SCCとGDPR認証(Europrivacyなど)は業界に依存せず、すべてのデータ管理者と処理者が使用できます。他の認証は、データ処理者のみまたは特定の評価対象に限定される場合があります。企業拘束規則は企業固有です。行動規範は業界固有であり、データを共有するデータ管理者と処理者が異なる行動規範に従う可能性があることを意味します。例えば、ホスピタリティサービス向けに設計された行動規範は、ホステルリー企業向けの会計会社などのサービスプロバイダーには適していません。
時間と労力
企業がすでにGDPRに準拠していると仮定すると、各手段に必要な時間と労力は異なります。SCCは、契約条件を交渉し、合意する必要があります。企業が単一のB2Bパートナーを持っている場合、これは最も迅速な手段です。ただし、単一の認証は無制限の数のデータ管理者と処理者と使用できますが、SCCはデータを共有する各パートナーごとに個別に採用および署名する必要があります。
柔軟性と適応性
一部の手段は企業レベルの要件(BCR、CC)に焦点を当てていますが、他の手段は特定のデータ処理活動(認証、SCC)に焦点を当てています。前者のカテゴリは、より高いレベルでの遵守を確保する必要があります。後者のカテゴリは、企業が優先データ処理に努力を集中し、重要なことから取り組むことを可能にします。
信頼性
信頼性のレベルは、手段の性質に依存します。例えば、SCCはエンティティによる拘束力のある約束ですが、その背後にある実際の遵守を監査および制御するものではありません。一方、認証は、認定された監査人によって実施される定期的な第三者監査に依存しています。信頼レベルスケール(TSL)は、A(非常に信頼性が高い)からI(まったく信頼できない)までのスケールを提供し、実際の遵守に対する信頼レベルを評価します。4つの手段に適用すると、SCCはF、認証はAという結果になります。
価値創造
すべての手段は遵守をサポートするのに役立ちます。しかし、そのうちの1つである認証は、遵守を企業の無形資産に変えることを可能にします。特許のように、認証は企業の無形資産を構成します。遵守を価値創造の源に変えます。マーケティングおよび販売チームが競争優位として使用できます。また、財務アナリスト、投資家、株主との不確実性を軽減するためにも使用できます。
次の表は、4つの手段の特徴をまとめたものです。
| SCC | BCR | CC | 認証 | |
|---|---|---|---|---|
| GDPR第25条に基づく設計およびデフォルトによるデータ保護の実証 | いいえ | いいえ | いいえ | はい |
| GDPR第24条に基づくデータ管理者の適切性の実証 | いいえ | いいえ | はい | はい |
| GDPR第28条に基づく選択されたデータ処理者の適切性の実証 | いいえ | いいえ | はい | はい |
| GDPR第32条に基づくデータ処理のセキュリティの実証 | いいえ | いいえ | はい | はい |
| 普遍性:業界横断的な適用性 | はい | いいえ | いいえ | はい |
| 無形資産としての価値 | いいえ | いいえ | いいえ | はい |
| 優先データ処理の選択と集中の可能性 | はい | いいえ | いいえ | はい |
| GDPR第83条に基づく行政罰への影響 | いいえ | いいえ | はい | はい |
| 拡張性と拡張可能性(1つをすべてのB2Bパートナーと使用可能) | いいえ | はい | はい | はい |
表が示すように、認証は多くの利点を持つ最も強力な手段として登場します。これは、GDPR内で各手段が正式に言及される頻度によっても確認されています。
- 認証は12の条項で73回言及されています
- 行動規範は10の条項で36回言及されています
- 企業拘束規則は7の条項で25回言及されています
- 標準契約条項は2の条項で7回言及されています
結論
各GDPR手段は、実際の遵守に関する異なる利点と信頼性のレベルを提供します。DPOは、雇用主のニーズに最も適した手段を評価し、選択する責任があります。この分析が比較と選択に役立つことを願っています。
気が変わった場合、1つの手段から別の手段に移行したり、複数の手段を組み合わせたりすることは、遵守を確認し文書化した後は非常に簡単です。
参考文献
| 手段 | GDPR言及回数 | 条項 | 前文 |
|---|---|---|---|
| 標準契約条項(SCC) | 7 | 28, 57 | 81, 109, 168 |
| 企業拘束規則(BCR) | 25 | 4, 46, 47, 49, 57, 58, 64, 70 | 107, 108, 110, 168 |
| 行動規範 | 36 | 24, 28, 32, 35, 40, 41, 46, 57, 58, 64, 70, 83 | 77, 81, 98, 99, 148, 168 |
| 認証 | 73 | 24, 25, 28, 32, 42, 43, 46, 57, 58, 64, 70, 83 | 77, 81, 100, 166, 168 |