ユーロプライバシーの概要

一般データ保護規則(GDPR)の施行から、個人データ保護コンプライアンスは、欧州連合(EU)域内で活動する企業や公的機関にとって主要な要件となっています。これは、データ管理者や処理者に無視できない法的・財務的なリスクをもたらします。
ユーロプライバシーは、GDPR及び補完的なデータ保護規制の遵守を評価、文書化、認証及び価値化するために、欧州研究プログラムを通じて研究・開発された認証スキームです。これは、データ保護の国際専門家委員会の監督の下、ルクセンブルクの欧州認証・プライバシーセンター(ECCP)によって運営されています。
ユーロプライバシーは、「管理者及び処理者による取扱業務が本規則を遵守することを証明する目的のために」、ISO/IEC 17065及びGDPR第42条に基づき開発されました。
ユーロプライバシーは単なる認証スキームにとどまりません。データ保護コンプライアンスを効果的に実装、強化及び証明するための包括的なオンラインリソースとサービスを提供します。公式パートナーのコミュニティ、オンラインアカデミー、コミュニティウェブサイト及びオンラインツールによって支援されています。数多くの利点とメリットを提供します。
適用範囲と対象
目的:ユーロプライバシーは、GDPR及び補完的なデータ保護規制の遵守の評価、文書化、証明及び価値化を可能にします。特に、企業及び事業体による以下の活動を支援します。
- コンプライアンスを確認・文書化することで、法的・財務的リスクを軽減すること。
- コンプライアンスを資産や価値創造の源泉に変えて、発信・価値化すること。
- ユーロプライバシー認証とオンラインリソースにより、コンプライアンスを享受・維持すること。
対象:ハイブリッドモデルにより、ユーロプライバシーは、人工知能(AI)、ブロックチェーン、eヘルス及びモノのインターネット(IoT)などの革新的な技術を含む、ほとんど全てのデータ取扱活動に適用可能です。バイオメディカルデータなど、いくつかの特定の除外事項があります。
ユーロプライバシーの手法は多様な評価対象に適用可能ですが、GDPR第42条に基づき認証の対象となるのはデータ取扱活動に限られます。その結果、EU管轄区域において、GDPRに基づき、企業全体を一括で認証すること、その管理システム全体を認証することはできません。この要素の良い点は、優先度の高いデータ処理活動から開始し、徐々に認証範囲を拡大することで、段階的なコンプライアンスの認証が可能である点です。
誰が:ユーロプライバシーは、データ管理者及びデータ処理者の両方に適用されます。
どこで:ユーロプライバシーは、GDPRの遵守を評価するため、どこであっても利用できます。ただし、認証の発行は、データ主体の権利及び自由に対する十分かつ適切な保証を提供しない管轄には適用されません。
拡張性:ユーロプライバシーは、EU以外の規制を含む補完的な各国データ保護規制、並びに分野及び技術固有の規制に容易に拡張できるように開発・設計されています。
有効性:認証は、3年間の更新可能な期間、有効です。
認証プロセス
認証手続は、以下の主要なステップに分けられます。
- リスクを軽減するために、ユーロプライバシーのウェルカムパックのリソース及びツール、並びに公式パートナーの支援を受けて、ユーロプライバシー基準への遵守を準備し、文書化します。追加のEU又は各国規制への遵守を認証するため、拡張基準を利用可能です。
- コンプライアンスのための取組みを評価・発信するため、認定認証機関からデータ取扱いに関するコンプライアンスの認証を受けます。認定認証機関は、ECCPによって認定され、国内の所管官庁から有効な認定を取得している必要があります。認証は、第三者による真正性の確認と偽造防止を可能にするため、公式のユーロプライバシー認証登録簿に公開されます。
- コミュニケーションガイドライン及びテンプレート、コンプライアンス要件の継続的な更新、並びに年次監査などのオンラインリソースとツールを活用して、コンプライアンスを維持、発信及び価値化します。

ユーロプライバシーの革新的な認証モデル
ユーロプライバシーは、汎用的な認証スキームに加え、評価対象の性質に応じて、分野・技術固有の基準によって補完される革新的なハイブリッド認証モデルを提供します。
GDPRコア基準: 認証プロセスは、常に、以下のGDPRの様々な義務を網羅するユーロプライバシーのGDPRコア基準リストから始まります。

C - 補完的なチェックとコントロール: コア基準は、評価対象に適用され得る分野・技術固有の義務への遵守を評価するため、補完的なチェックとコントロールによって完成します。

T - 技術的・組織的措置: 技術的・組織的措置のチェックとコントロールは、取扱われるデータを保護するための措置の十分性を評価することを目的としています。ハイリスクのデータ取扱いを除き、評価対象を包含する有効なISO/IEC 27001認証で置き換えることができます。

S - 監査チェックリスト: 時間の経過にもかかわらず、継続的なコンプライアンスの評価・確保のため、監査のためのいくつかの追加基準が指定されます。

N - 各国義務: ユーロプライバシーは、以下の2つのツールにより、補完的な各国義務の遵守評価を支援します。
- 欧州経済領域(EEA)の加盟国ごとに設定された各国義務のプロファイル。これらのリソースは、各国義務遵守評価報告書(NOCAR)を作成するために利用可能です。
- 評価対象がデータ保護に関する補完的な各国規制の遵守状況を評価・認証するため、ユーロプライバシー各国拡張基準を利用できます。これらの拡張は任意のものであり、対応する非EU管轄区域にユーロプライバシー認証を拡張するために自主的に利用されます。