ドイツのデータ保護監督機関がGDPRの統一的監督ルールに合意

ドイツ連邦と16州のデータ保護監督機関は11月6日、EU一般データ保護規則（GDPR）の運用ルールである、標準データ保護モデル（SDM）の全面改定版を採択した。SDMは2018年5月からEU域内（注1）で適用が開始されているGDPRのドイツでの運用に際して、個人データの処理が適法かどうかを判断するためのプロセスを体系化したものだ。データ保護監督機関のみならず、個人データを扱う企業や官庁での自己診断に用いることも考慮した内容となっている。

改定版では、解釈の幅が大きかった、合法的に個人情報を処理するための法的根拠の1つ（注2）となる「同意」に関する章が追加され、「同意」の有効性についてより詳しく定義している。全てのデータ処理要件に対する適合判断が統合的にこの改定版SDMに基づくことになる。ドイツでは、10月30日に不動産会社ドイチェ・ボーネン（Deutsche Wohnen）が、雇用契約や所得などを含む過去の顧客個人情報を不必要に保持し続けたことから1,450万ユーロの罰金を科せられた事例（注3）があり、こうした事例の防止やグーグル・アナリティクス利用の際に考えられる問題を反映した内容となっている。

また、個人データ処理を行う企業に対して、データ保護監督機関が特定のデータ項目に限定した利用制限を出すケースをSDMでは言及しており、該当するデータを抽出するためのアプリケーションの実装など、社内体制整備が重要となる。

また、SDMは今後も改変していくとしており、改善のため、利用者の経験のフィードバックを呼び掛けている。

ドイツでは、データ保護に関して、連邦データ保護監察官が連邦機関を、各州のデータ保護監督機関が州の行政機関と民間企業の監督を担当している。監督ルールの全国での調和を図るため、連邦・州合同の協議機関としてデータ保護会議（DSK）が設置され、規制ルール運用の経験交換とそれに基づく共通ルール化を行っている。SDMはGDPR導入後、約1年半の経験をDSKが集大成したものだ。

（注1）アイスランド、ノルウェー、リヒテンシュタインでも2018年7月20日から適用開始され、現在の適用範囲はEUを含む欧州経済領域（EEA）となっている。

（注2）GDPRでは、個人情報処理は「同意」「契約の履行」など6つある法的根拠のいずれかによる場合のみ適法とされている。

（注3）同社は、GDPR以前の旧法適用時の2017年6月に改善勧告を受けており、その後の2019年3月の監査でも適切な対応がされていないと判断され、制裁金が科された。

（中村容子）