EDPB、個人データ処理の管理者と処理者を判断するためのGDPRガイドライン案発表

欧州データ保護会議（EDPB）は9月15日の本会議において、EUデータ保護規則（GDPR）の情報処理管理者と処理者の概念に関するガイドラインの公開諮問（パブリック・コンサルテーション）文案を採択した。管理者は、個人データの取り扱いの目的および方法を決定する者で、処理者は管理者に代わって個人データを処理する者とされており、管理者は、GDPRが定める要件を順守する十分な保証を示すことができる者のみを処理者として用いる責務がある。一方、処理者は、GDPRが定める要件を順守することを保証する管理者との契約によって規定され、処理者の指示に基づき、個人データを処理する。個人データの処理に関与する当事者が増え、複雑化する中、管理者と処理者いずれに該当するかで責務が異なるため、今回のガイダンスはその判断を助けるための文書となっている。

ガイドラインでは、管理者とみなされる目安として、個人データの処理を通じて何らかのメリットが得られている場合、個人データの処理を基に何らかの決断を行う場合、個人データの処理が自社の活動に付随して生じている場合、などを挙げている。処理者となる目安としては、個人データの処理行為が第三者の監督下にある場合、個人データの処理サービスㇸの対価以外に処理の目的がない場合、などを挙げている。

さらに、ガイダンスでは、GDPR上、多くが定められていない、共同管理者についても言及している。GDPR上の責務履行に関する役割分担は、共同管理者間で自由に割り当てが可能な一方、責務履行の漏れがないよう、責務分担を文書化することを推奨、またデータ主体（個人）はその分担の本質について知らされている必要があるとした。一方、データ主体による権利行使はこうした分担にかかわらず、どの共同管理者に対しても可能としている。また、データ監督当局による調査についても同様で、取り決めにかかわらず、どの共同管理者に対しても可能とした。加えて、個人データ処理の記録保管義務や設置義務がある場合〔「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（第29条作業部会ガイドライン編　データ保護責任者）参照(628KB)〕のデータ保護責任者（DPO）設置は全ての共同管理者に課される義務だとしている。

なお、公開諮問の期間は10月19日までとなっている。

（福井崇泰）