カレントアウェアネス-E

No.353 2018.08.30

 

 E2053

EU一般データ保護規則（GDPR）と図書館への影響

 

    個人データの保護を受ける権利は，欧州連合（EU）において基本的な権利と位置付けられている。EU一般データ保護規則（General Data Protection Regulation：GDPR）はその保護を強化し，域内のルールを統合する規則として，2016年4月に採択された。同年5月に公布・施行された後，2年間の猶予を経て，2018年5月25日から適用が始まった。以下では，GDPRの概要及び諸外国で検討される図書館におけるGDPRへの対応等を紹介する。

●GDPRの概要

    GDPRの保護の対象となる個人データは，識別された又は識別可能な自然人（「データ主体」）に関する全ての情報であり，氏名，住所，メールアドレス，IPアドレス，識別番号等を含む。GDPRは，欧州経済領域（EEA）域外への適用，高額な制裁金，個人データ取扱いに関する原則の提示，データ主体の権利の拡大，EEA域外への移転の制限といった特徴がある。特に，EEA域内の管理者等による個人データの取扱いに留まらず，物品又はサービスの提供と関連して，EEA域内のデータ主体の個人データを取り扱う場合等には，域外の機関等にも適用されること，規則への違反に対しては，最大で2,000万ユーロ（事業の場合，世界全体における売上総額の4％の金額か2,000万ユーロのいずれか高額な方）の制裁金が規定されていることから，世界的な注目を集めている。

●個人データの取扱い

    個人データの取扱いに関する原則としては，（1）適法性，公正性及び透明性，（2）目的の限定，（3）（取り扱う）個人データの最小化，（4）正確性（最新の状態の維持を含む），（5）記録保存の制限，（6）完全性及び機密性が掲げられ，同時にこれら6つの原則についての説明責任も求められている。個人データは，データ主体の明白な同意がある場合のほか，契約の履行に必要な場合等に限って取り扱うことができる。

   データ主体の権利として，（1）個人データの取扱いに関する情報の提供を受ける権利，（2）個人データ及び関連情報へのアクセス権，（3）自己に関連する個人データの訂正権，等の既存の権利に加えて，（4）削除権（「忘れられる権利（E1801参照）」），（5）データ・ポータビリティの権利（自己の個人データを受け取り，他の管理者に移行する権利），（6）プロファイリング（経済状況や個人的嗜好などの個人的側面を評価するための個人データの自動的処理）等の専ら自動化された決定の対象とされない権利等，が新たに明文化された。また，個人データの侵害（流出等）があった場合には，侵害の連絡を受けることができることも規定されている。

    こうした権利を保護するため，個人データの管理者には，技術的・組織的対策の実施が求められ，公的機関である等の一定の場合にはGDPRの遵守を監視すること等を任務とする「データ保護責任者」を指名することも求められている。特徴的な点として，個人データ取扱いの設計段階から技術的・組織的な保護措置を検討し，組み込むこと（データ保護・バイ・デザイン）や初期設定におけるデータ保護（データ保護・バイ・デフォルト）が求められていることが挙げられる。また，個人データの侵害があった場合には，72時間以内にデータ保護監督当局に通知する義務がある。

●図書館への影響と動向

    図書館は，利用者情報のほか，コレクション等に含まれる個人データを管理しているため，EU域内を中心にGDPRへの対応が必要となる。国際図書館連盟（IFLA）は，2017年7月，GDPRに関する解説文書において，図書館が採るべき具体的行動を示している。例えば，個人データ取扱いの根拠の明確化，データ主体の同意を根拠とする場合の次のような対策の実施が挙げられる。

• データ主体である利用者が内容・条件を容易に確認でき，理解できるようにすること
• 図書館における個人データの利用目的を明確にすること
• データ主体である利用者が能動的に同意を表明する形式にすること（デフォルトで同意になっているチェックボックス等は許されない）

    このほか，個人データの利用目的，種類，保持期間，個人データ保護のための技術的対策等を記録し，求めに応じてデータ保護監督当局に提出しなければならないこと等を挙げている。なお，図書館のコレクションに含まれる個人データについては，（1）表現及び情報の自由，（2）公共の利益のためのアーカイブ，（3）調査研究のため，という3つの特例に該当する可能性があり，国による立法措置等が採られている場合には訂正権等の適用除外となり得るという。例えば，英国では，関連の国内法（2018年データ保護法）制定に際し，英国図書館（BL）等から法整備を行うよう意見があり，アーカイブに対する適用除外等が法制化された（なお，英国は，EU離脱後は域外国となるが，EU離脱法等に基づき，離脱後もGDPRが国内法として適用される）。

    図書館における対応事例としては，IFLAウェブセミナーでデンマーク王立図書館の例が紹介された。同図書館は，データ保護責任者を任命し，部局横断でGDPRへの対応を採った。そして，図書館に存在する，利用者情報（貸出記録，ニュースレター登録等）やコレクションに関わる様々な個人データを明確化，文書化し，更に要求される監査への対応が行われるとともに，図書館員に対する教育も重視されているという。

    また，北米研究図書館協会（ARL）は，GDPRの解説文書において，EU域外国の図書館における個人情報管理に対しGDPRが与える影響を指摘する一方，図書館におけるプライバシー保護を促進するための好機になるととらえている。同文書では，研究図書館は，在外研究，訪問研究者等の形で，EUやその市民との結びつきを有するとして，GDPRへの対応の必要性を指摘している。

    GDPRの適用開始から間もないことから，今後もEU域内外の判例や適用事例等の動向を注視する必要があろう。

調査及び立法考査局国土交通課・神足祐太郎

Ref:
https://doi.org/10.11501/11117153
https://doi.org/10.11501/11125367 ( http://dl.ndl.go.jp/info:ndljp/pid/11125367 )
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/
https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
https://www.ifla.org/files/assets/clm/publications/briefing_general_data_protection_regulation_2018.pdf
https://www.ifla.org/node/36104
http://www.arl.org/news/arl-news/4542-what-does-gdpr-mean-for-libraries-worldwide-arl-releases-issue-brief#.WweSO1ISV1E
http://www.arl.org/storage/documents/IssueBrief_GDPR_May2018.pdf
http://www.rluk.ac.uk/blog/general-data-protection-regulation-is-it-important-for-a-library-or-archive/
http://www.rluk.ac.uk/blog/general-data-protection-regulation-2018-ready-set-go/
https://www.cilip.org.uk/page/gdpr
https://mirai.kinokuniya.co.jp/2018/06/3947/
E1801