3)検査官の結論のより詳細なレビューは以下のとおりである。
項目1:乗車記録の匿名化について
Taxaが個人データを処理するシステムの1つにDDSパスファインダーシステムがある。 このシステムは、顧客の注文や課税にかかる乗車記録等に使用される。
すなわち、タクシーに乗ってDDSパスファインダーに登録すると、たとえば顧客の名前、電話番号、実行日時、乗車の開始時刻と終了時刻、走行距離(キロメートル)数、支払い、GPS座標や住所などの座標として指定された乗車開始位置と終了位置等に関する情報が格納される。タクシーで乗車を予約した顧客にリンクできる限り、記載されている情報は顧客に関する個人情報と見なされる。
検査訪問に関連して、タクシー会社は、乗車に関するDDSパスファインダー内の情報は2年後に匿名化され、この匿名化は顧客の名前がタクシーから削除されることにあると説明した。 Taxaはまた、顧客の電話番号は5年間保存されており、これは事業開発のためのデータ基盤としてのみ利用されえいると述べた。
「個人データの匿名化」とは、情報に基づいて、または他の情報と組み合わせて、自然人を後で識別することができないことを意味する。その情報は人格的ではないということ。 これが取消不能であることは匿名化の条件である。 問題となっている自然人がいかなる方法でもその情報にリンクバックすることはできない。匿名化された情報は、もはやGDPRの適用対象にならない。
検査訪問中に、検査官はDDSパスファインダーでスポットチェックを実施した。記録から、顧客の電話番号が検索されたときにタクシーに乗ってから2年以上も顧客の納税申告書を検索できることが判明した。 顧客の名前のみがタクシーから削除されるという匿名化のためのTaxaの手順では、情報の本当の匿名化は行われないというのが検査官の意見である。特に、Taxaは、顧客の電話番号、走行日、走行の開始と終了、走行距離、支払い、GPS座標および/または住所として記載された開始位置と終了位置、および走行後2年後のその他の座標に関する個人データを処理し続けていた。
さらに、検査官は、Taxaが顧客の電話番号を継続的に処理し、それによって処理されたタクシー料金に関するその他の情報が匿名ではないことは、GDPRの第5条第1項に準拠していないと判断した。同項は、問題の個人データが処理される目的のために必要とされるよりも長い期間にわたってデータ主体を識別することが不可能であるような方法で個人データが格納されなければならないこと明記している。
これに関連して、Taxa自身は、情報を2年間処理することだけが必要であると評価したことに注意すべきである。
項目2:データ最小化の要件に関連して、顧客の電話番号を5年間保存した点
GDPRの第5条第1項 (c)は、個人データは十分で、関連性があり、それらが処理される目的のために必要なものに限定されなければならないと明記している。
検査訪問に関連して、Taxaは検査官に対し顧客の電話番号がタクシーの運転後5年間保存されると述べた。さらに、Taxaは、顧客の電話番号はもっぱら事業開発のためのデータベースとして扱われ、その電話番号はDDSパスファインダーシステムの共通参照フレームであると述べた。
最後に、Taxaは検査官に、2年が経過した後に別の固有のID番号が電話番号と同じ目的を果たすことができるが、電話番号をID番号などに置き換えるためにシステムが逆行することはできないと説明した。
検査官の見解では、顧客の電話番号がシステム内で重要かつ共通の参照フレームワークとして使用されているTaxaのDDSパスファインダーのレイアウトは、電話番号自体は問題の目的に必要ではないので、GDPRの第5条第1項(c)に準拠していない。これに関連して、検査官は、乗車に関する情報を新しいデータ構造に移行することに関連するコストは、2年後に顧客の電話番号を削除できなかったことを正当化する理由にはあたらないと指摘した。
項目3:DDSパスファインダーのためのデータ修復手順の不明瞭さ
監査訪問の際に、Data Inspectorateは、顧客の電話番号の取り扱いに関して、Taxaが5年間の削除期限を決定する際にどのような考慮を払っているかを尋ねた。
これに関連して、Taxaは、電話番号がDDSパスファインダーの背後にあるデータベース全体への鍵であり、したがってTaxaの製品および事業開発に必要であると述べた。
検査訪問の後、北欧のローファーム「NORDIA Advokatfirma I / S(以下”NORDIA”という)」は 2018年11月28日付けの手紙で、Taxaは「タクシーの注文に従って最長5年間注文された電話番号を保持する」と述べた 。 同じ手紙の中で、NORDIAは、 「電話番号の保持はDDSパスファインダー・システムが機能するための前提条件である」と述べている。 これは、DDSパスファインダーシステムの共通の参照フレームが、旅行先から注文された電話番号であるためであった。
2018年12月7日付けの書簡で、データ検査官はタクシーに顧客の電話番号を5年間保存する理由を述べるようタクシーに要求した。同時に、データ検査担当者は、タクシーの注文を遵守するために保管が行われる場合には、さらに詳しく説明するために、タクシーの注文時に具体的に記載されているタスタをTaxaに要求した。
2018年12月13日、NORDIAは、2018年12月7日の検査官の書簡に対する返事を送った。そこでは、Taxaは次のように述べていた。「"電話番号はTaxaシステムの鍵である。 したがって、Taxaが事業を遂行することと、Taxaの事業開発の基盤としての両方が維持される。 同時に、NORDIAは、「タクシーの注文に関する保管の理由は誤解によるものである」と述べた。
GDPR第5条第1項 (b)は、個人データは明示的かつ合法的な目的のために収集されなければならないと述べている。それはまた第5条第2項「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)」からも導き.出される。
Taxaは、顧客の電話番号の法的根拠がDDSパスファインダーで扱われているかどうかについて何度も不確かであったため、Taxaがデータ保護規則の第5条第2項に基づく説明責任の要件を満たしていないと考えている。
項目4:削除手順の文書化について
個人データの削除の要件へのTaxaのGDPR準拠の監視の一環として、検査官は、削除の手順とその文書化を確認した。
削除手続きの文書化に関して、データ検査官は、Taxaが提出した資料に基づいて、選択されたすべてのシステムにおける削除手続きの文書化が表面的で一般的にみて不適切であることを確認できた。
検査訪問に関連して、検査官はまた、Taxaのシステムの削除に関するフォローアップ、 バックアップ時に、以前に削除された個人データの再ロードを処理する、システム内の削除を記録するなど、手順に関する文書の提出を要求した。
バックアップを元に戻すときの削除および以前に削除された個人データの再読み込みの処理に関するフォローアップに関して、Taxaはこのための会社の手順に関する文書がないと述べた。
システムで行われた削除のログ記録に関して、検査官は、検査訪問に基づいて、監督上の訪問の対象となったシステムの4つのうち3つにおいて、手動のスプレッドシートで削除のログ記録のみが行われたと結論付けることができた。さらに、このスプレッドシートでは、特定の削除のログ記録は表示されず、そのシステムで誰が削除を行ったのか、およびいつ削除が行われたのかの履歴のみが示された。4番目のシステムでは、2018年6月14日に、Taxaは削除された情報を記録するための機能を実装しました。削除は2018年10月1日に依頼された。
データ保護法第5条第1項および第5条第2項に従い、データ管理者は、問題となっている個人データが処理される目的のために必要とされるよりも長期間にわたってデータ主体を識別することができなかったことを証明できなければならない。
検査官は、Taxaが削除のフォローアップ、サービスバックアップを実行する際の以前に削除された個人データの再読み込みの処理、および削除に関するTaxaのログ記録が不十分であるため,、これらの手順を文書化していないため、GDPRの第5条第2項の要件を満たしていないと考えた。
(3) 検査の結論
検査訪問に関連して検査官が確立した結果に基づいて、検査官は要約すると次のとおり結論の根拠を見出した。
1. Taxa は会社自体の個人データの匿名性手続きが不十分であるため、GDPR第5条第2項(e)(保管制限)要件を満たしていない。
2. Taxa はデータ保護規則の第5条第1項(c)(データの最小化)の要件を満たしていない。5年間の顧客の電話番号の会社の保管は、それらが保管される目的に関連して必要ではなかった。
3. Taxa はGDR第5条第1項および第5条第2項の要件を満たしていない。会社がタクシーに乗った後5年間顧客の電話番号がどのトリートメントセンターに保存されているか。 明確に定義していなかった。
4. Taxa はGDPR第5条第1項および第5条第2項の要件を満たしていない。なぜなら、会社はシステム内で行われた削除とそれを行うための会社の手続きを適切に文書化していないからである。
これらの理由をもとに、前述のポイント1と2と比較して、検査官は本日、コペンハーゲン警察にTaxa の警察宛て報告を提出した。
さらに、パラグラフ3と4に関連して、データ検査官は全体として、Taxa がGDPRの要件を満たしていないという深刻な批判を表明することの根拠を見出した。
(4) 参照
[1] 「個人データの処理およびそのようなデータの自由な移動に関する個人情報の保護に関する規則」の追加規定に関する2018年5月23日法律第502号(デンマークのデータ保護法) (注4)
****************************************************************************
(注2)ここでいう「ポリシー」とは「社内ルール」である。
(注3) わが国でGDPRにおける匿名化(Anonymous)と仮名化(Pseudonymisation)の相違につき詳しく解説しているサイトから一部を以下、引用する。
「匿名というのは、個人の特定が不可能とされる状態を指します。そして、GDPRでは、「匿名化データ」は個人データに該当しません。注意が必要なのは、匿名化技術は、不可逆的に特定を防止するものでなければなりません。
この匿名化についてGDPRの訳文の前文26条を引用する「(26) データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。」
一方、「仮名化データ」は、追加情報がないと個人を特定できないものです。
ただ、「仮名化データ」は、匿名化データとは異なり個人データになります。
仮名化データを具体的にいうと、データの中身を置換するなどして個人の情報が直接分からないように加工したものです。
例えば、データベースの中の、氏名や住所、電話番号などを、別の文字列に置換したものです。ただ、顧客IDなどのID列のデータはそのまま残っているので、加工前のデータが残っていれば、加工前のデータと紐づけると、個人特定ができる状態です。(以下、略す)
(注4) デンマークの監視機関である”Datatilsynet”サイトでは、これらの他に「犯罪者の防止、調査、探知または訴追の目的での所管官庁による個人データの処理に関する自然人の保護に関する2016年4月27日の欧州議会および理事会の指令(EU)2016/680 犯罪または刑事罰の執行、およびそのようなデータの自由な移動、ならびに議会の枠組み決定の廃止2008/977 / JHAに関する指令」、「法執行機関による個人データの処理に関する法律 (全10章23条)」、「デンマークのテレビ監視法に関する行政命令(Bekendtgørelse af lov om tv-overvågning)」が関係法令として列記されている。
**************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿