🇪🇺GDPRの重要法文（プライバシーゴールド出題範囲Ⅱ の抜き出しメモ）

こんにちは！

先日、プライバシーゴールド試験が始まるとのnoteを書きました。

が、「プライバシーホワイト」と異なり、GDPRの試験範囲は、公式教科書がないため、独習する必要があります。。(涙）

そこで、この記事では、
その５科目のうち、GDPRの試験範囲の項目ごとの概要および、該当条文を抜き出し、試験項目と条文の対応づけをしてみようと思います。
（筆者の勉強目的で条文を引用してこれから勉強する内容を、ついでに公開するものです。確認はしていますが、公式ではありませんので、ご注意ください。）

GDPRに関する試験範囲

まず、試験概要からGDPRに関する試験範囲、出題範囲を振り返ります。

（試験範囲の項目・内容）

II.　欧州連合（EU: European Union）の一般データ保護規則（GDPR: General Data Protection Regulation）
2.1　適用範囲
GDPRの地理的適用範囲

2.2　基本概念
定義（個人データ、特別な種類の個人データ、処理、移転、管理者、処理者、共同管理者、同意等）

2.3　管理者・処理者の義務
①個人データ処理の諸原則、
②処理の法的根拠（個人データの処理、特別な種類の個人データの処理）、③処理活動の記録、
④データ主体への情報通知・権利行使対応、
⑤適切な技術的・組織的措置の実施、
⑥個人データ侵害への対応、
⑦データ処理契約の締結・更新、
⑧EU代理人、
⑨データ保護責任者の選任義務、
⑩データ保護影響評価の実施義務、
⑪域外移転規制等

資格認定制度　Japan DPO Association

（出題範囲）

・一般データ保護規則（GDPR: General Data Protection Regulation）前文（1項、26項、75項、76項）

・GDPR条文（2条～10条、12条～22条、24条～39条、44条～49条、84条）

欧州データ保護会議（EDPB: European Data Protection Board）ガイドライン

・管理者及び処理者の概念に関するガイドライン

・データポータビリティの権利に関するガイドライン

・データ保護オフィサー（DPO）に関するガイドライン

・管理者又は処理者の主監督機関の特定に関するガイドライン8 2022

・データ保護影響評価（DPIA）及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン

・個人データ侵害通知に関するガイドライン09_2022

・個人データ侵害通知の事例に関するガイドライン01_2021

・同意に関するガイドライン

・透明性に関するガイドライン

・規則第49条の例外に関するガイドライン

・GDPRの地理的適用範囲（第3条）に関するガイドライン 03_2018 – バージョン2.1）

---

続いて、試験範囲の項目ごとに、指定文書（PPC日本語翻訳版）から、概要と該当条文を合わせてみていきます。

---

試験範囲の法令概要

2.1 適用範囲　scope

• 該当条文: 第2条（実体的適用範囲）第3条（地理的適用範囲）

• 概要:

  • GDPRは、EU内に拠点がある企業だけでなく、EU域外の企業も以下の場合に適用される：

    • EU居住者に対して商品やサービスを提供する場合。（有償・無償を問わない）。

    • EU内のデータ主体の行動を監視する場合（例: 行動追跡やプロファイリング）。

  • 適用範囲が広がり、国境を超えたデータ保護規制を目指している。

  • GDPRは、個人データの処理が自動化された手段によって行われる場合や、部分的に自動化された場合にも適用される。

  • 個人データを含むファイル管理システムも対象となる。

2条　実体的適用範囲　
1. 本規則は、その全部又は一部が自動的な手段による個人データの取扱いに対し、並びに、自動的な手段以外の方法による個人データの取扱いであって、ファイリングシステムの一部を構成するもの、又は、ファイリングシステムの一部として構成することが予定されているものに対し、適用される。
2. 本規則は、以下の個人データの取扱いには適用されない：（以下略）

GDPR条文

3条　地理的適用範囲　Article 3 Territorial scope
1. 本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
2. 取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される：
　(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は
　(b) データ主体の行動がEU域内で行われるものである限り、その行動の監視。
3. 本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。

GDPR条文

• 関連前文:前文1項
  GDPRの目的が、国境を超えたデータ保護を確保し、個人データ保護の一貫性を促進することにあることを強調。

(1) 個人データの取扱いと関連する自然人の保護は、基本的な権利の一つである。欧州連合基本権憲章（以下「憲章」という。）の第8条第1項及び欧州連合の機能に関する条約（以下「TFEU」という。）の第16条第1項は、全ての者が自己に関する個人データの保護の権利を有すると定めている。

一般データ保護規則（GDPR: General Data Protection Regulation）前文

• 関連ガイドライン:　GDPRの地理的適用範囲（第3条）に関するガイドライン 03_2018 – バージョン2.1）
  GDPR第3条に基づき、EU域外の企業がGDPRの適用対象となるかを判断する基準を提供。：

  • EU居住者に「商品やサービスを提供する」という要件の具体例。

  • 「行動監視」の具体例と該当基準。

---

2.2 基本概念　definition

• 該当条文:　第4条（定義）、第9条（特別な種類の個人データの取扱い）

個人データ　personal data

• 該当条文:　第4条（定義）第1項

• 概要:

  • 識別された、または識別可能な自然人（データ主体）に関する情報を指す。

  • 名前、住所、ID、位置情報、オンライン識別子（例: IPアドレス）などが含まれる。

　(1) 「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

GDPR条文

• 関連前文:前文26項
  匿名化されたデータは適用外、識別可能性がある場合はGDPR範囲内。

(26) データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。

一般データ保護規則（GDPR: General Data Protection Regulation）前文

---

特別な種類の個人データ special categories of personal data

• 該当条文:第9条（特別な種類の個人データの取扱い）、第10条 有罪判決及び犯罪と関連する個人データの取扱い

• 概要:

  • 人種、民族、政治的意見、宗教、健康情報、遺伝データ、バイオメトリクスデータ、性的指向など。

  • 特別な保護が必要で、処理には限定的な条件が適用される。

第9条　特別な種類の個人データの取扱い
　1. 人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。

第10条 有罪判決及び犯罪と関連する個人データの取扱い
　第6条第1項に基づく有罪判決及び犯罪行為又は保護措置と関連する個人データの取扱いは、公的機関の管理の下にある場合、又は、データ主体の権利及び自由のための適切な保護措置を定めるEU法又は加盟国の国内法によってその取扱いが認められる場合に限り、これを行うことができる。有罪判決の包括的な記録は、公的機関の管理の下にある場合に限り、これを保管できる。

GDPR条文

• 関連前文:前文75項：
  不適切な処理が特別な損害を与えるリスクに言及。

(75) 自然人の権利及び自由に対するリスクは、様々な蓋然性と深刻度で、個人データの取扱いから生じうる。
それは、物的な損失、財産的な損失若しくは非財産的な損失を発生させうるものであり、特に
：その取扱いが、差別、ID盗取又はID詐欺、金銭上の損失、信用の毀損、職務上の守秘義務によって保護されている個人データの機密性の喪失、無権限による仮名化の復元、又は、それら以外の重大な経済的又は社会的な不利益を生じさせうる場合；データ主体がその権利及び自由を奪われ、又は、その個人データに対するコントロールの実行を妨げられる場合
；人種的若しくは民族的な出自、政治的な意見、信教又は思想上の信条、労働組合の加入を明らかにする個人データの取扱い、並びに、遺伝子データ、健康と関係するデータ若しくは性生活と関係するデータ、又は、有罪判決及び犯罪行為若しくは関連する保護措置と関係するデータの取扱いの場合
；個人的側面が評価される場合、特に、個人プロファイルの作成若しくはその使用のために、職務遂行能力、経済状態、健康、個人的な嗜好若しくは興味、信頼性若しくは行動、位置若しくは移動に関する側面が分析又は予測される場合
；脆弱性のある自然人の個人データ、特に、子どもの個人データが取扱われる場合
；又は、取扱いが莫大な量の個人データを含んでおり、多数のデータ主体に対して影響を及ぼす場合がそうである。

一般データ保護規則（GDPR: General Data Protection Regulation）前文

---

処理　processing

• 該当条文:　第4条（定義）第2項

• 概要:

  • データの収集、保存、利用、削除など、個人データに対するあらゆる操作。

　(2) 「取扱い」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。

GDPR条文

---

管理者 controller ・処理者 Processor ・共同管理者  Joint controllers

• 該当条文: 第4条（定義）、第26条（共同管理者）、第28条（処理者）

• 概要

  • 管理者: 処理目的・手段を決定。

  • 処理者: 管理者の指示に従い、データを処理。

  • 共同管理者: 処理目的・手段を共同で決定。

第4条（定義）
(7) 「管理者」とは、自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。
その取扱いの目的及び方法がEU法又は加盟国の国内法によって決定される場合、管理者又は管理者を指定するための特別の基準は、EU 法又は加盟国の国内法によって定めることができる。

(8) 「処理者」とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。

第26条（共同管理者）
1. 二者以上の管理者が共同して取扱いの目的及び方法を決定する場合、それらの者は、共同管理者となる。管理者らが服すべきそれぞれの管理者の責任がEU法又は加盟国の国内法によって定められていない場合、その範囲内において、管理者は、本規則に基づく義務、とりわけ、データ主体の権利の行使に関する義務、並びに、第13 条及び第 14 条に規定する情報を提供すべき管理者それぞれの義務を遵守するための管理者それぞれの責任について、管理者の間での合意により、透明性のある態様で定める。その合意においては、データ主体のための連絡先を指定できる。
2. 第 1 項に規定する合意は、共同管理者各自とデータ主体とのそれぞれの間における役割及び関係を適正に反映するものとする。その合意の要点は、データ主体に利用可能なものとされる。
3. 第1項に規定する合意に定める条件にかかわらず、データ主体は、個々の管理者との関係において、及び、個々の管理者に対して、本規則に基づく自己の権利を行使できる。

GDPR条文

• 関連ガイドライン: 管理者及び処理者の概念に関するガイドライン*
  GDPR第4条（定義）に基づき、「管理者」「処理者」「共同管理者」の概念を明確化し、役割と責任を定義

  • データ処理に関する責任の範囲や、管理者・処理者間の関係を整理し、契約要件や義務を解説。
    

  • 管理者又は処理者の主監督機関の特定に関するガイドライン8 2022
    GDPR第56条(主監督機関の職務権限)に基づき、EU域内で複数国に拠点を持つ組織の「主監督機関（Lead Supervisory Authority）」の特定基準を解説。

    • 組織の主要拠点（Main Establishment）の判断方法や、監督機関間の協力メカニズムを説明。

---

同意　consent

• 該当条文:　第4条（定義）11項、第7条（同意の要件）、第8条（子どもの同意）

• 概要:
  自由、特定、明示的かつ知識に基づいた意思表示。撤回可能。

第4条（定義）
　(11) データ主体の「同意」とは、自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する。

第7条 同意の要件
　1. 取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明きるようにしなければならない。
　2. 別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。
　3. データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。
　4. 同意が自由に与えられたか否かを判断する場合、特に、サービスの提供を含め、当該契約の履行に必要のない個人データの取扱いの同意を契約の履行の条件としているか否かについて、最大限の考慮が払われなければならない。

第8条 情報社会サービスとの関係において子どもの同意に適用される要件
　1. 子どもに対する直接的な情報社会サービスの提供との関係において第6条第1項(a)が適用される場合、その子どもが16歳以上であるときは、その子どもの個人データの取扱いは適法である。その子どもが16歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。 加盟国は、その年齢が13 歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。
　2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする。
　3. 第1項は、子どもと関係する契約の有効性、締結又は法律効果に関する規定のような加盟国の一般的な契約法に対して影響を与えない。

GDPR条文

• 関連ガイドライン: 同意に関するガイドライン
  GDPR第4条定義(11)同意・第7条同意の要件に基づき、適切な「同意」の取得要件を定義。

  • 「自由意思・特定性・明示性・撤回可能性」を満たす同意の条件、違反リスク、適用例を解説。

---

2.3 管理者・処理者の義務 

（全般）

• 該当条文: 
  第24条 管理者の責任　
  第25条 データ保護バイデザイン及びデータ保護バイデフォルト　
  第28条（処理者）＊　（一部⑦参照）
  第29条 管理者又は処理者の権限の下における取扱い　
  第31条 監督機関との協力

• 概要:

第24条 管理者の責任
　1. 取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装するものとする。それらの措置は、レビューされ、また、必要があるときは、最新のものに改められるものとする。
　2. 取扱活動と関連して比例的である場合、第1項に規定する措置は、管理者による適切なデータ保護方針の実装を含むものとする。
　3. 第40 条に規定する承認された行動規範及び第 42 条に規定する承認された認証方法の遵守は、管理者の義務が履行されていることを証明するための要素として用いることができる。

第25条 データ保護バイデザイン及びデータ保護バイデフォルト
　1. 技術水準、実装費用、取扱いの性質、範囲、過程及び目的並びに取扱いによって引きこされる自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則の要件に適合するものとし、かつ、データ主体の権利を保護するため、取扱いの方法を決定する時点及び取扱いそれ自体の時点の両時点において、データの最小化のようなデータ保護の基本原則を効果的な態様で実装し、その取扱いの中に必要な保護措置を統合するために設計された、仮名化のような、適切な技術的措置及び組織的措置を実装する。
　2. 管理者は、その取扱いの個々の特定の目的のために必要な個人データのみが取扱われることをデフォルトで確保するための適切な技術的措置及び組織的措置を実装する。この義務は、収集される個人データの分量、その取扱いの範囲、その記録保存期間及びアクセス可能性に適用される。とりわけ、そのような措置は、個人データが、その個人の関与なく、不特定の自然人からアクセス可能なものとされないことをデフォルトで確保する。
　3. 第42条により承認された認証方法は、本条の第1項及び第2項に定める要件の充足を証明するための要素として用いることができる。

第28条（処理者）
　1. 管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。
　2. 以下⑦処理契約の項参照

第29条 管理者又は処理者の権限の下における取扱い
　処理者及び管理者の権限又は処理者の権限の下で行為する者であって、個人データへのアクセスをもつ者は、EU 又は加盟国の国内法により求められている場合を除き、管理者から指示がない限り、当該個人データを取扱ってはならない。

第31条 監督機関との協力
管理者及び処理者、並びに、該当する場合はそれらの者の代理人は、要求に応じて、その職務の遂行において監督機関と協力するものとする。

GDPR条文

• 関連ガイドライン: 管理者及び処理者の概念に関するガイドライン*
  （詳細は2.2参照）

① 個人データ処理の諸原則 Principles relating to processing of personal data

• 該当条文: 第5条（個人データの取扱いと関連する基本原則 ）
  Article 5 Principles relating to processing of personal data

• 概要:
  公正性、透明性、目的限定、データ最小化、正確性、保存期間の制限、セキュリティ確保。

第5条（個人データの取扱いと関連する基本原則 ）
1. 個人データは：
　(a) そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。（「適法性、公正性及び透明性」）
　(b) 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。（「目的の限定」）
　(c) その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。（「データの最小化」）
　(d) 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。（「正確性」）
　(e) その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。（「記録保存の制限」）
　(f) 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。（「完全性及び機密性」）

2. 管理者は、第 1 項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。（「アカウンタビリティ」）

GDPR条文

• 関連前文: 前文26項、75項、76項

(76) データ主体の権利及び自由に対するリスクの蓋然性及びその深刻度は、その取扱いの性質、範囲、過程及び目的に照らして判断されなければならない。リスクは、データ取扱業務がリスク又は高度なリスクを含むものか否かを決めることのできる客観的な評価に基づいて決定されなければならない。
（26項は個人データ、75項は特別カテゴリデータを参照）

一般データ保護規則（GDPR: General Data Protection Regulation）前文

---

② 処理の法的根拠 Lawfulness of processing

• 該当条文:

  • 第6条（取扱いの適法性 ）Article 6 Lawfulness of processing

  • 第9条（特別な種類の個人データの取扱い ）Article 9 Processing of special categories of personal data

• 概要:
  ・処理は正当な法的根拠（同意、契約履行、法的義務など）に基づかなければならない。
  ・特別な種類の個人データの処理は、例外以外は原則禁止。

第6条（取扱いの適法性 ）
1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である：
　(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
　(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
　(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
　(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
　(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
　(f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
（以下略）

第9条 特別な種類の個人データの取扱い
1. 人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。
2. 第1項は、以下のいずれかの場合には適用されない。
　(a) データ主体が、一つ又は複数の特定された目的のためのその個人データの取扱いに関し、明確な同意を与えた場合。ただし、EU法又は加盟国の国内法が第1項に定める禁止をデータ主体が解除できないことを定めている場合を除く。
　(b) EU 法若しくは加盟国の国内法により認められている範囲内、又は、データ主体の基本的な権利及び利益のための適切な保護措置を定める加盟国の国内法による団体協約によって認められる範囲内で、雇用及び社会保障並びに社会的保護の法律の分野における管理者又はデータ主体の義務を履行する目的のため、又は、それらの者の特別の権利を行使する目的のために取扱いが必要となる場合。
　(c) データ主体が物理的又は法的に同意を与えることができない場合で、データ主体又はその他の自然人の生命に関する利益を保護するために取扱いが必要となるとき。
　(d) 政治、思想、宗教又は労働組合の目的による団体、協会その他の非営利組織による適切な保護措置を具備する正当な活動の過程において、当該取扱いが、その組織の構成員若しくは元構成員、又は、その組織の目的と関係してその組織と継続的に接触をもつ者のみに関するものであることを条件とし、かつ、データ主体の同意なくその個人データが当該組織の外部に開示されないことを条件として、取扱いが行われる場合。
　(e) データ主体によって明白に公開のものとされた個人データに関する取扱いの場合。
　(f) 訴えの提起若しくは攻撃防御のため、又は、裁判所がその司法上の権能を行使する際に取扱いが必要となる場合。
　(g) 求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、重要な公共の利益を理由とする取扱いが必要となる場合。
　(h) EU 法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合。
　(i) データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU 法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。
　(j) 求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが必要となる場合。
（２以降略）

GDPR条文

---

③ 処理活動の記録 Records of processing activities

• 該当条文:　第30条（処理活動の記録）Article 30 Records of processing activities

• 概要:

  • 処理の目的やデータの種類、管理者・処理者の情報などを詳細に記録する義務。

1. 個々の管理者、及び、該当する場合、管理者の代理人は、その責任において、取扱活動の記録を保管する。その記録は、以下の情報の全てを含める：　　(a) 管理者、及び、該当する場合、共同管理者、管理者の代理人並びにデータ保護オフィサーの名前及び連絡先；
(b) 取扱いの目的；
(c) データ主体の類型の記述及び個人データの種類の記述；
(d) 第三国又は国際機関内の取得者を含め、個人データが開示された、又は、開示される取得者の類型；
(e) 該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、第49条第1項第2副項に規定する移転の場合、適正な保護措置を示す文書；
(f) 可能なときは、異なる種類毎のデータの削除のために予定されている期限；
(g) 可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の概要。
2. 個々の処理者、及び、該当する場合、処理者の代理人は、管理者の代わりに行われる全ての種類の取扱いの記録を保管する。以下の事項を含める：
(a) 処理者及び処理者が代わりに活動している個々の管理者の名前及び連絡先、並びに、該当する場合、管理者又は処理者の代理人及びデータ保護オフィサーの名前及び連絡先；
(b) 個々の管理者の代わりに行われる取扱いの種類；
(c) 該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、第49条第1項第2副項に規定する移転の場合、適切な保護措置を示す文書；
(d) 可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の一般的な記述。
3. 第1項及び第2項に規定する記録は、書面によるものとし、電子的方式も含むものとする。
4. 管理者又は処理者、及び、該当する場合、管理者の又は処理者の代理人は、要請に応じて、監督機関がその記録を利用できるようにする。
5. 実施する取扱いがデータ主体の権利及び自由に対してリスクを発生させる可能性がある場合、その取扱いが一時的なものではない場合、又は、その取扱いが第 9条第 1項に規定する特別な種類のデータを含んでおり、若しくは、第10条に規定する有罪判決及び犯罪行為と関連するものである場合を除き、第1項及び第2項に規定する義務は、従業者の数が250名未満の企業又は組織に対しては、適用されない。

GDPR条文

---

④ データ主体への情報通知・権利行使対応　

• 該当条文:

  • 第12条～22条（通知義務、アクセス権、データポータビリティなど）
    Article 12 Transparent information, communication and modalities for the exercise of the rights of the data subject

• 概要:

  • データ主体の権利（アクセス権、訂正権、削除権など）を適切に通知し対応。

第12条 データ主体の権利行使のための透明性のある情報提供、連絡及び書式
1. 管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34 条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる。その情報は、書面により、又は適切であるときは電子的な手段を含めその他の方法により、提供される。データ主体から求められたときは、当該データ主体の身元が他の手段によって証明されることを条件として、その情報を口頭で提供できる。
（以下略）

第13条 データ主体から個人データが取得される場合において提供される情報
1. データ主体と関連する個人データがそのデータ主体から収集される場合、管理者は、その個人データを取得する時点において、そのデータ主体に対し、以下の全ての情報を提供する：
（以下略）

第14条 個人データがデータ主体から取得されたものではない場合において提供される情報
1. 個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する：
（以下略）

第15条 データ主体によるアクセスの権利
1. データ主体は、管理者から、自己に関係する個人データが取扱われているか否かの確認を得る権利、並びに、それが取扱われているときは、その個人データ及び以下の情報にアクセスする権利を有する：
（以下略）

第16条 訂正の権利
データ主体は、管理者から、不当に遅滞することなく、自己と関係する不正確な個人データの訂正を得る権利を有する。取扱いの目的を考慮に入れた上で、データ主体は、補足の陳述を提供する方法による場合を含め、不完全な個人データを完全なものとさせる権利を有する。
（以下略）

第17条 消去の権利（「忘れられる権利」）
1. 以下の根拠中のいずれかが適用される場合、データ主体は、管理者から、不当に遅滞することなく、自己に関する個人データの消去を得る権利をもち、また、管理者は、不当に遅滞することなく、個人データを消去すべき義務を負う。
（以下略）

第18条 取扱いの制限の権利
1. データ主体は、以下のいずれかが適用される場合、管理者から、取扱いの制限を得る権利を有する：
（以下略）

第19条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
管理者は、それが不可能であるか、又は、過大な負担を要することが明らかである場合を除き、そのデータの開示を受けた個々の取得者に対し、第16条、第17条第1項及び第18条に従って行われた個人データの訂正若しくは消去又は取扱いの制限を通知する。管理者は、データ主体に対し、そのデータ主体がそれを求める場合、その取得者に関する情報提供する。

第20条 データポータビリティの権利
1. データ主体は、以下の場合においては、自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利をもち、また、その個人データの提供を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。
（以下略）

第21条 異議を述べる権利
1. データ主体は、自己の特別な状況と関連する根拠に基づき、第6条第1項(e)又は(f) に基づいて行われる自己と関係する個人データの取扱いに対し、それらの条項に基づくプロファイリングの場合を含め、いつでも、異議を述べる権利を有する。管理者は、データ主体の利益、権利及び自由よりも優先する取扱いについて、又は、訴えの提起及び攻撃防御について、やむをえない正当な根拠があることをその管理者が証明しない限り、以後、その個人データの取扱いをしない。
（以下略）

第22条 プロファイリングを含む個人に対する自動化された意思決定
1. データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。
（以下略）

GDPR条文

• 関連ガイドライン:

  • データポータビリティの権利に関するガイドライン
    GDPR第20条データポータビリティの権利に基づき、データ主体が自身のデータを別のサービスに移行する権利を具体化する。

    • データの構造化・一般的に使用される形式での提供義務や、技術的実装の考慮事項を説明。
      

  • 透明性に関するガイドライン
    GDPR第12～14条に基づき、データ主体への情報提供義務を明確化。

    • プライバシーポリシーの要件、データ主体に分かりやすい情報提供の方法、例外規定を説明。

---

⑤ 適切な技術的・組織的措置 Security of processing

• 該当条文:

  • 第32条（第32条 取扱いの安全性 ）Article 32 Security of processing

• 概要:

  • 暗号化、擬名化、アクセス制御などのセキュリティ対策を講じる。

第32条（第32条 取扱いの安全性 ）
1. 最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。
 (a) 個人データの仮名化又は暗号化；
 (b) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力；
 (c) 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力；
 (d) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順。
2. 安全性の適切なレベルを評価する際、取扱いによって示されるリスク、特に、送信され、記録保存され、又は、それ以外の取扱いがなされる個人データの、偶発的又は違法な、破壊、喪失、改変、無権限の開示、又は、アクセスから生ずるリスクを特に考慮に入れる。
3. 第40条で定める行動規範又は第42条で定める承認された認証メカニズムに忠実であることは、本条第1項に定める要件の遵守を説明するための要素として用いることができる。
4. 管理者及び処理者は、管理者又は処理者の権限の下で行動し、個人データにアクセスする自然人が、管理者の指示に基づく場合を除き、EU 法又は加盟国の国内法によってそのようにすることを求められない限り、その個人データを取扱わないことを確保するための手立てを講ずる。

GDPR条文

---

⑥ 個人データ侵害への対応　personal data breach

• 該当条文:

  • 第33条（監督機関に対する個人データ侵害の通知 ）Article 33 Notification of a personal data breach to the supervisory authority 、

  • 第34条（データ主体に対する個人データ侵害の連絡 ）Article 34 Communication of a personal data breach to the data subject

• 概要:

  • 侵害発生後、72時間以内に監督機関に通知。重大な場合はデータ主体にも通知。

第33条（監督機関に対する個人データ侵害の通知 ）
1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
2. 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。
（以下略）

第34条（データ主体に対する個人データ侵害の連絡 ）
1. 個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。
（以下略）

GDPR条文

• 関連ガイドライン:

  • 個人データ侵害通知に関するガイドライン09_2022
    GDPR第33条・34条に基づき、データ侵害の通知義務に関する手続きと要件を明確化。

    • 監督機関およびデータ主体への通知基準、72時間以内の報告義務、例外事項を説明。
      

  • 個人データ侵害通知の事例に関するガイドライン01_2021
    個人データ侵害が発生した際、具体的な事例ごとに通知義務の有無を判断するための指針を提供。

    • 典型的なデータ侵害のシナリオを示し、それぞれのケースで監督機関・データ主体への通知要否を整理。

---

⑦ データ処理契約の締結　Processor（DPA）

• 該当条文:　第28条（処理者）　*(１校は全般参照）

• 概要:
  管理者と処理者間で、データ保護に関する法的契約を締結。

第28条（処理者）
1.（全般の項参照）
2. 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関する変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。
3. 処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める：
　(a) 処理者が服する EU 又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。
　(b) 個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。
　(c) 第32 条（取扱いの安全性 ）によって求められる全ての措置を講ずること。
　(d) 別の処理者を業務に従事させるために、第2項及び第4項に規定する要件を尊重すること。
　(e) 第 3 章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。
　(f) 取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第32条から第36条による義務の遵守の確保において、管理者を支援すること。
　(g) 取扱いと関係するサービスの提供が終了した後、EU法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。
　(h) 本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。
（以下略）

GDPR条文

---

⑧ EU代理人　Representatives

• 該当条文:

  • 第27条（EU域内に拠点のない管理者又は処理者の代理人 ）Article 27 Representatives of controllers or processors not established in the Union

• 概要:

  • EU域外の管理者・処理者はEU内の代理人を指定。

第27条（EU域内に拠点のない管理者又は処理者の代理人 ）
1. 第3条第2項が適用される場合、管理者又は処理者は、書面により、EU域内における代理人を指定するものとする。
(以下略）

GDPR条文

---

⑨ データ保護責任者（DPO） 　data protection officer

• 該当条文:

  • 第37条～39条（DPOの選任義務、役割、任務）Article 37 Designation of the data protection officer

• 概要:

  • 公共機関や大規模処理を行う場合に選任義務あり。

第37条 データ保護オフィサーの指名
1. 管理者及び処理者は、以下の場合において、データ保護オフィサーを指名しなければならない： 
(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する（acting in their judicial capacity）場合を除く取扱い；
(b)管理者又は処理者の中心的業務が、 その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合；又は、
(c) 管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。
2. 企業グループは、データ保護オフィサーが各拠点から容易にアクセス可能な場合に限り、1名のデータ保護オフィサーを指名できる。
3. 管理者又は処理者が公的機関又は公的組織である場合、その組織上の構造及び規模を考慮に入れた上で、複数の公的機関又は公的組織に対して単一のデータ保護オフィサーを指名できる。
4. 第1項で定める場合以外においては、管理者若しくは処理者、又は、様々な種類の管理者若しくは処理者を代表する団体その他の組織は、データ保護オフィサーを指名することができ、又は、EU法又は加盟国の国内法によって要求される場合、データ保護オフィサーを指名しなければならない。そのデータ保護オフィサーは、そのような団体その他の組織を代表する管理者又は処理者のために行動できる。
5. データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びに第39条で定める職務を充足するための能力に基づいて指定される。
6. データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務を果たすことができる。
7. 管理者又は処理者は、データ保護オフィサーの連絡先の詳細を公表し、かつ、監督機関に対し、それを連絡しなければならない。

第38条 データ保護オフィサーの地位
1. 管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサーが関与することを確保しなければならない。
（以下略）

第39条 データ保護オフィサーの職務
1. データ保護オフィサーは、少なくとも、以下の職務を行わなければならない：
(a) 管理者又は処理者及び取扱いを行う従業者に対し、本規則及びそれ以外の EU 若しくは加盟国のデータ保護条項による義務を通知し、かつ、助言すること；
(b) 取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、本規則の遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を監視すること；
(c) 要請があった場合、第35条によるデータ保護影響評価に関して助言を提供し、その遂行を監視すること；
(d) 監督機関と協力すること；
(e) 取扱いと関連する問題に関し、監督機関の連絡先として行動すること。第 36 条に規定する事前協議、適切な場合、それ以外の関連事項について協議することを含む。
2. データ保護オフィサーは、その職務を遂行する際、取扱いの性質、範囲、過程及び目的を考慮に入れた上で、取扱業務と関係するリスクに関し、適正に注意を払う。

GDPR条文

• 関連ガイドライン:

  • データ保護オフィサー（DPO）に関するガイドライン
    GDPR第37～39条に基づき、DPO（データ保護責任者）の任命基準、役割、義務を明確化。

    • DPOの独立性、組織内での位置付け、業務遂行上の要件について具体的に説明。

---

⑩ データ保護影響評価（DPIA）　Data protection impact assessment

• 該当条文:
  第35条（データ保護影響評価 ）Article 35 Data protection impact assessment、第36条 事前協議　Article 36 Prior consultation

• 概要:

  • 高リスクを伴う処理に関して実施義務がある。

第35条（データ保護影響評価 ）
　1. 取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。類似の高度のリスクを示す一連の類似する取扱業務は、単一の評価の対象とすることができる。
　2. 管理者は、データ保護影響評価を行う場合、その指定をしているときは、データ保護オフィサーに対して助言を求めなければならない。
　3. 第1項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる：
(a) プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合；
(b) 第 9 条第 1項に規定する特別な種類のデータ又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合；又は、
(c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。
　4. 監督機関は、第1項によるデータ保護影響評価の義務に服する取扱業務の種類のリストを作成し、これを公表しなければならない。監督機関は、第68条に規定する欧州データ保護会議に対し、そのリストを送付するものとする。
　5. 監督機関は、データ保護影響評価を要しない取扱業務の種類のリストを作成し、これを公表することもできる。監督機関は、欧州データ保護会議に対し、そのリストを送付するものとする。
（以下略）

第36条 事前協議
　1. そのリスクを軽減させるために管理者によって講じられる措置が存在しない状況下で、自然人の権利及び自由に対して高いリスクをもたらすおそれがあるということを第35条に基づくデータ保護影響評価が示している場合、管理者は、その取扱いを開始する前に、監督機関と協議しなければならない。
　2. 第1項で定める予定されている取扱いが本規則に違反しうるとの見解を監督機関がもつときは、とりわけ、管理者がリスクの特定及び削減について不十分であるときは、その監督機関は、協議の要請を受理した時から8週間以内に、その管理者に対し、及び、該当する場合、処理者に対し、書面による助言を提供し、また、第58 条に規定する権限中のいずれかを用いることもできる。この期限は、予定されている取扱いの複雑性を考慮に入れた上で、6週間まで延長できる。その監督機関は、その管理者に対し、及び、該当する場合は、処理者に対し、協議の要請を受領した時から1か月以内に、その遅延の理由を付して、そのような期限延長を通知するものとする。これらの期限は、監督機関が協議のために求めた情報を入手するまでの間、停止させることができる。
　3. 第 1 項により監督機関と協議する場合、管理者は、監督機関に対し、以下の情報を提供しなければならない：
　 (a) 該当する場合、取扱いに関与する管理者、共同管理者及び処理者のそれぞれの責任。特に企業グループ内の取扱いに関連した責任；
　(b) 予定されている取扱いの目的及び方法；
　(c) 本規則によるデータ主体の権利及び自由を保護するために提供される措置及び保護措置；
　(d) 該当する場合、データ保護オフィサーの詳細な連絡先；
　(e) 第35 条に定めるデータ保護影響評価；並びに、
　(f) 監督機関から求められたその他の情報。

GDPR条文

• 関連ガイドライン:　データ保護影響評価（DPIA）及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン
  GDPR第35条に基づき、高リスク処理の判断基準とDPIA（データ保護影響評価）の適用基準を提供。

  • DPIAが必要なケース（大規模な監視、プロファイリング、機密データの処理等）や、実施手順を解説。

---

⑪ 域外移転規制　transfers

• 該当条文:
  ・第44条 移転に関する一般原則　Article 44 General principle for transfers
  ・第45条 十分性認定に基づく移転　Article 45 Transfers on the basis of an adequacy decision
  ・第46条 適切な保護措置に従った移転　Article 46 Transfers subject to appropriate safeguards
  ・第47条 拘束的企業準則（BCR）　Article 47 Binding corporate rules
  ・第48条 EU法によって認められない移転又は開示　Article 48 Transfers or disclosures not authorised by Union law
  ・第49条 特定の状況における例外　Article 49 Derogations for specific situations

• 概要:

  • EU域外へのデータ移転は、十分性認定、標準契約条項（SCCs）、拘束的企業規則（BCRs）などを遵守。

第44条 移転に関する一般原則
現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関から別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

第45条 十分性認定に基づく移転
1. 第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる。その移転は、いかなる個別の許可も要しない。
（以下略）

第46条 適切な保護措置に従った移転
1. 第45条第3項による決定がない場合、管理者又は処理者は、その管理者又は処理者が適切な保護措置を提供しており、かつ、データ主体の執行可能な権利及びデータ主体のための効果的な司法救済が利用可能なことを条件としてのみ、第三国又は国際機関への個人データを移転することができる。
2. 第1項で定める適切な保護措置は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる：
(a) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書；
(b) 第47条に従う拘束的企業準則；
(c) 第93 条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項；
(d) 監督機関によって採択され、かつ、第93条第2項で定める審議手続に従って欧州委員会によって承認された標準データ保護条項；
(e) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第40条による承認された行動規範；又は、
(f) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第42条による承認された認証方法。
（以下略）

第47条 拘束的企業準則（BCR）
1. 所轄監督機関は、次に掲げる場合、第63条に定める一貫性メカニズムに従い、拘束的企業準則を承認しなければならない：
(a) その従業者を含め、企業グループ又は共同経済活動に従事する企業グループの関係する全てのメンバーを法的に拘束し、それらの者に適用され、かつ、それらの者によって執行され；
(b) その個人データの取扱いと関連するデータ主体の執行可能な権利を明示で与えており；かつ、
(c) 第2項に定める要件を満たしている場合。
（以下略）

第48条 EU法によって認められない移転又は開示
管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

第49条 特定の状況における例外
1. 第45 条第 3項による十分性認定がない場合、又は拘束的企業準則を含め、第46条による適切な保護措置がない場合、以下の条件中のいずれかを満たしている場合においてのみ、第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる：
(a) 十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合；
(b) データ主体と管理者との間の契約の履行のためにその移転が必要となる場合、又は、データ主体の要求により、契約締結前の措置を実施するためにその移転が必要となる場合；
(c) 管理者及びそれ以外の自然人若しくは法人との間でデータ主体の利益のために帰する契約の締結、又は、その契約の履行のために移転が必要となる場合；
(d) 公共の利益の重大な事由の移転が必要となる場合；
(e) 法的主張時の立証、行使又は抗弁に移転が必要となる場合；
(f) データ主体が物理的又は法的に同意を与えることができない場合において、データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合；
(g) EU 法又は加盟国の国内法に従い、公衆に対して情報を提供することを予定しており、かつ、公衆一般及び正当な利益をもつことを説明することのできる者の両者に対して開かれているが、個々の案件において、照会に関してEU法又は加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り、登録機関からの移転が必要となる場合。
（以下略）

GDPR条文

• 関連ガイドライン:

  • 規則第49条（特定の状況における）例外に関するガイドライン
    GDPR第49条に基づき、EU域外へのデータ移転が許容される例外条件を具体化。

    • 十分性認定がない場合でもデータ移転が可能なケース（明示的同意、契約履行、重大な公共利益等）を解説。

---

（罰則規定　Penalties）

• 該当条文:

  • 第84条（制裁）Article 84 Penalties

• 概要:

  • 違反に対する罰則（最大2,000万ユーロまたは企業売上高の4%）。

第84条 制裁
1. 加盟国は、本規則の違反行為、とりわけ、第83条による制裁金に服さない違反行為に適用可能な別の制裁に関する法令を定め、かつ、その法令が実装されることを確保するために必要となる全ての措置を講ずる。その制裁は、効果的であり、比例的であり、かつ、抑止力のあるものとする。
2. 各加盟国は、欧州委員会に対し、2018年5月25日までに、第1項により採択した加盟国の国内法の条項を通知し、かつ、遅滞なく、それらの条項に影響を与えるその後の改正を通知する。

GDPR条文

試験範囲の条文（一部項省略）、前文、GLは以上です。

---

その他参考になりそうな情報

その他参考になりそうな教科書の最右翼は、GDPRについては、プライバシーホワイト公式教科書の第Ⅴ章EUの個人情報保護法の基礎　ではないかと思います。

プライバシーホワイト（民間分野）の公式教科書　のⅤ章GDPR部分

プライバシーホワイト 日本DPO協会 認定データ保護実務者（民間分野）教科書 ver.2.01

日本DPO協会 JAPAN DPO ASSOCIATION DPO協会販売サイト

概説GDPR

GDPRの解説本は複数出ていますが、日本DPO協会代表理事　堀部先生ご推薦、堀部先生の教え子の先生方執筆の本書は、内容に信頼がおけて、かつ簡潔で読みやすいです。

概説GDPR

個人情報保護法コンメンタール

試験対策＋αで、日本の個人情報保護法の条文の後に、GDPRの類似条文の解説があり、その考え方の共通項と違いを理解するための本。中級者以上向け。

個人情報保護法コンメンタール 第2版 第1巻

---

あとがき

抜き出しが終わり、こうして試験範囲から条文を振り返って改めて読んでみると、
「あ、こんなことも書いてあったのねー」

と気づくこともあるものだなぁ〜というのが感想です。

日本に比べ、GDPRは前文もあり、条文やGLが豊富にあります。

勉強の仕方として、自分は、
①プライバシーホワイトのテキストのGDPR 部分や手軽な本で概観
②試験範囲の条文に素直な気持ちであたる
③GLをざっと斜め読みする
くらいにしようかな？と妄想中です。

前職でGDPRの実務は多くなかったので不安もあります…
でもまぁ、初めての試験実施なので、こればかりは受けてみないとわかりませんね（笑）

ではまた！

---

関連Note

---

今日のAI絵

プライバシーゴールド試験に向けてGDPRを勉強し直す🐩