Loading…
Article 35 GDPR に基づくデータ保護影響評価(DPIA)は、処理が自然人の権利および自由に対する高いリスクを生じさせるおそれがある場合に必ず必要となります。第29条作業部会(現 EDPB)は9つの基準を定めており、2つ以上が該当する場合は DPIA を実施します。
防御可能な DPIA は5つのステージから成ります。処理の記述、必要性と比例性の評価、リスクの特定、緩和策の特定、そして正式な承認とレビュー予定の設定です。ICO の手法と EDPB ガイドラインは、この構成において緊密に整合しています。
適切に実施された DPIA は、コンプライアンスの儀式ではなく、製品を形づくる成果物です。リスクを早期に表面化させ、データ最小化、保持、アクセスに関する選択を迫ります。最良の DPIA は、最初のコードを書く前に完了しています。
Article 35(1) は、処理が「高いリスクを生じさせるおそれがある」場合に DPIA を求めています。Article 35(3) は3つの必須の場合を挙げています。
ほとんどの監督機関は、常に DPIA を必要とする追加の処理に関する国別リスト(Article 35(4))を公表しています。主管監督機関のリスト、および加盟国住民を処理する監督機関のリストを確認してください。
判断が不明確な場合は、9基準による判定を行います。2つ以上該当すれば DPIA が必要です。
あらゆる DPIA の基礎は、実際にデータをどう扱っているかの正確な記述です。次を把握します。
これにデータフロー図を組み合わせます。自由記述の説明は、データフロー図が捉える事項を見落とします。
特定可能な各リスクについて、次を文書化します。
日常的にカバーすべき脅威の種類:不正アクセス(内部者、外部の攻撃者)、改ざん(完全性の喪失)、喪失(破壊、利用不能)、差別、なりすまし、金銭的損失、評判の毀損、機密性の喪失、データに対するコントロールの喪失、仮名化データの再識別。
各リスクについて、予定される処理を特定します。
予定される管理策の適用後に残存リスクを再スコアリングします。残存リスクが高いままである場合、処理を開始する前に監督機関に相談しなければなりません(Article 36)。
Article 36 の事前相談は、緩和策を適用した後も、権利および自由に対する残存リスクが高いままである場合に必要です。
監督機関が受領するもの:
監督機関の回答期間:8週間(複雑な案件では6週間延長可能)。この期間中、承認なしに処理を開始することはできません。
シナリオ: ある物流会社が、ドイツとスペインの12拠点にわたる4,500名の倉庫作業員を対象に、顔認識ベースの出退勤打刻を導入する計画です。
閾値判定: 機微なデータ(識別のための Article 9 生体データ)+大規模+脆弱な主体(従業員)+革新的な利用 = 明らかに DPIA の領域。ドイツおよびスペインの監督機関のリストも、職場での生体認証による識別を必須 DPIA として挙げています。
記述(ステージ1): 拠点入口の前面カメラから導出された顔テンプレート。拠点ごとの装置に保存された登録テンプレートと照合され、一致はタイムスタンプと作業員IDとともに記録される。生体テンプレートは在職期間+30日間保持され、照合ログは3年間保持される。
必要性(ステージ2): 適法な根拠は Article 6(1)(b) 雇用契約+9(2)(b) 雇用法上の義務(ドイツ)および明示的同意(スペイン、労使協議会の共同決定を伴う)。検討した代替手段:PINカードスワイプ(却下 — なりすまし打刻)、NFC付きバッジ(却下 — 同様)、指紋(却下 — 衛生面)。代替手段に対する顔テンプレートの必要性を正当化。
リスク(ステージ3): (a) 生体テンプレートの集中化が漏えいの標的となる。(b) 誤った不一致による賃金控除。(c) 機能の逸脱 — 打刻データが業績評価に使用される。(d) 従業員への強制:生体収集を拒否すると、より悪い条件への強制的なオプトアウトとなる。
処理(ステージ4): (a) 拠点ごとのオンプレミス装置。テンプレートは HSM 管理の鍵で暗号化。クラウドへの複製なし。(b) 不一致時の手動オーバーライドワークフロー。給与計算は打刻失敗のみを理由に控除できない。(c) 契約上の禁止+打刻データと人事業績システムの技術的分離。(d) 不利益のない真のオプトアウト経路(バッジによる代替)。労使協議会の合意書に文書化。
承認: DPO の助言を取得 — 顔テンプレートを退職後30日ではなく7日後に削除することを推奨。管理者が受け入れ。労使協議会の共同決定を取得。残存リスク:中~低。監督機関への相談は不要。
単一の処理活動に焦点を絞った DPIA:パートタイムの労力で2~4週間(暦日ベース)。複雑なもの(新たな製品ライン、生体認証、AI モデル):6~12週間。「2時間」と称されるものは、本物の DPIA ではありません。
はい — すでに運用中の処理については、Article 35(11) のレビューが適用されます。監督機関は、処理が GDPR より前から行われていた場合、またはこれまで DPIA 適用除外だった処理が高リスクになった場合に、遡及的な DPIA を受け入れます。
DPIA(Article 35 GDPR)は、データ処理の文脈における権利および自由へのリスクに焦点を当てます。FRIA(Article 27 EU AI Act)は、高リスク AI システムについて、差別、公平性、自動意思決定の影響など、より広範な基本権にまで及びます。両者は重複しており、AI のユースケースでは単一の成果物に統合できます。
義務ではありませんが、ICO が推奨しています。編集済みの概要を公表することは、強力な信頼のシグナルとなります。機微な技術的・商業的詳細は省略できます。実質的な内容 — 目的、適法な根拠、リスク、緩和策 — は公表可能です。
監督機関は8週間以内に書面で助言を提供します。複雑な案件では6週間延長可能です。監督機関は全面的に拒否することはできませんが、処理の禁止を含む Article 58 の是正措置を発出できます。それに応じて計画してください — Article 36 の案件は、開始前に3か月の準備期間が必要です。
RegulatoryBridge は、閾値判定、ステークホルダーへの相談、必要に応じた Article 36 の監督機関対応まで、完全な DPIA を実施します。本番対応可能で、監査でも防御可能な成果物です。