OECDプライバシー8原則を翻訳して読んでみる
こんにちは!
G/Wも最終日ですね。
今日、OECDのAI原則の改訂版を見ていて、そういえば、個人情報保護法関係でよく登場する『OECDプライバシー8原則』って、原文でちゃんと見たことなかったことに気づきました。
ということで、Back to the BASIC!
OECDプライバシー8原則とは
・どんな位置付けのものか振り返ったあと、
・機械翻訳+αを逐条日英で確認
したいと思います。
逐条日英の裏理由は、生きた英語教材として、後で見返したいと思ったためです。
(先日、仕事で英文プレゼンを作る必要があり、生成AIとなんとかしたのですが、基本的な言い回しはさらっと出るようにしないとなー、と反省したのです…)
OECDプライバシーガイドライン8原則とは?
OECDプライバシーガイドライン8原則とは、世界の個人情報保護法の基礎となる考え方になっているもので、GDPRより前、1980年にOECDで採択されたものです。
OECD8原則
OECDが1980年9月に採択した「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」に記述されている以下8つの原則。
1)「目的明確化の原則」(収集目的を明確にし、データ利用は収集目的に合致するべき)
2)「利用制限の原則」(データ主体の同意がある場合、法律の規定による場合以外は、目的以外に利用使用してはならない)
3)「収集制限の原則」(適法・公正な手段により、かつ、情報主体に通知又は同意を得て収集されるべき)
4)「データ内容の原則」(利用目的に沿ったもので、かつ、正確、完全、最新であるべき)
5)「安全保護の原則」(合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべき)
6)「公開の原則」(データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべき)
7)「個人参加の原則」(自己に関するデータの所在及び内容を確認させ、又は異議申立てを保障するべき)
8)「責任の原則」(管理者は諸原則実施の責任を有する)
個人情報保護法に関する解説書や個人情報保護士やプライバシーホワイトの資格試験の教科書の個人情報保護法の歴史の項に必ず出てくる内容です。
🇯🇵個人情報保護法と🇪🇺GDPRとの対応
2003年の日本の個人情報保護法の公布に当たっても、このOECD8原則は参照されており、対応する条文*は以下の通りとされています。
(*条文番号は令和2年改正前のもの)
外国における個人情報の保護に関する制度
令和2年の個人情報保護法改正では、越境移転を行う場合、同意取得時に以下の3つの情報提供が必要となりました。
・移転先の所在国の名称
・当該外国における個人情報の保護に関する制度
(以下外国制度と略)
・移転先が講じる個人情報保護のための措置
その外国制度について、我が国の個人情報保護法との間の本質的な差異を合理的に認識できる情報、具体的には以下の4項目として、③にOECD8原則が入っています。
また、個人情報保護委員会でも、一部の諸外国・地域の法制度について、委託調査事業を行い、結果を公開しています。
(c.f. その公開内容が古くなってる件のnote)
具体的には、各国の法令ごとに、例えばこんなふうにOECD8原則に対応する義務や権利が含まれているか否か、示されています。
つまり、わが国と同等か?を確認する際に、OECD8原則への準拠がその尺度になっているということになります。
(その国の個人情報保護法に8原則が規定されていれば、日本の個人情報保護法やGDPRと同等レベル*と言えるということになります。
*一方、その他の法律に政府に過度なデータのアクセス権限がある場合などは、総合的に見て同等といえない場合もあります)
それでは、本文と翻訳を見てみましょう!
元文書はこちらです。
プライバシー保護および個人データの国境を越えた流通に関するガイドライン
GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA
第1部 総則 PART ONE. GENERAL
定義 difinitions
1. このガイドラインの目的において:
1.For the purposes of these Guidelines
a) 「データ管理者」とは、個人データがその当事者または代理人によって収集、保管、処理、配布されるかどうかに関わらず、国内法に基づき個人データの内容および利用について決定する権限を持つ者を意味する。
a)“data controller” means a party who, according to national law, is competent to decide about the contents and use of personal data regardless of whether or not such data are collected, stored, processed or disseminated by that party or by an agent on its behalf;
b) 「個人データ」とは、
特定された、または特定可能な個人(データ主体)に関連する情報を意味する。
b)“personal data” means any information relating to an identified or identifiable individual (data subject);
c) 「プライバシー保護法」とは、国内法または規制のことで、その執行により、このガイドラインと一致する形で個人データを保護する効果を持つものである。
c)“laws protecting privacy” means national laws or regulations, the enforcement of which has the effect of protecting personal data consistent with these Guidelines;
d) 「プライバシー執行当局」とは、各加盟国によって定められた、プライバシー保護法を執行する責任を負い、調査を行ったり、執行手続きを進めたりする権限を持つ公的機関を意味する。
d)“privacy enforcement authority” means any public body, as determined by each Member country, that is responsible for enforcing laws protecting privacy, and that has powers to conduct investigations or pursue enforcement proceedings;
e) 「個人データの国境を越えた流通」とは、国境を越えた個人データの移動を意味する。
e)“transborder flows of personal data” means movements of personal data across national borders.
ガイドラインの適用範囲 Scope of Guidelines
2. このガイドラインは、公共部門または民間部門の個人データに適用され、その処理方法、性質、または利用される状況によって、プライバシーおよび個人の自由にリスクをもたらすものを対象とする。
2.These Guidelines apply to personal data, whether in the public or private sectors, which, because of the manner in which they are processed, or because of their nature or the context in which they are used, pose a risk to privacy and individual liberties.
3. このガイドラインの原則は相補的であり、全体として読まれるべきである。それらは次のように解釈されるべきではない:
3.The principles in these Guidelines are complementary and should be read as a whole. They should not be interpreted:
a) 収集、保管、処理、配布される個人データの性質および状況に応じて、異なる保護措置を異なる個人データのカテゴリに適用することを妨げるものとして。
a)as preventing the application of different protective measures to different categories of personal data, depending upon their nature and the context in which they are collected, stored, processed or disseminated; or
b) 表現の自由を不当に制限する方法で。
b)in a manner which unduly limits the freedom of expression.
4. このガイドラインの例外〜国家主権、安全保障および公共政策(「秩序」)に関するものを含む、は次のようであるべきである:
4.Exceptions to these Guidelines, including those relating to national sovereignty, national security and public policy (“ordre public”), should be:
a) 可能な限り少なくする。
a)as few as possible, and
b) 公に知られるようにする。
b)made known to the public
5. 連邦国家の場合には、連邦内の権限分担によりこのガイドラインの遵守に影響を与える可能性がある。
5.In the particular case of federal countries the observance of these Guidelines may be affected by the division of powers in the federation.
6. このガイドラインは、個人データの国境を越えた流通に影響を与える可能性のある、プライバシーおよび個人の自由を保護するための追加措置で補完できる最低基準と見なされるべきである。
6.These Guidelines should be regarded as minimum standards which can be supplemented by additional measures for the protection of privacy and individual liberties, which may impact transborder flows of personal data.
第2部 国内適用の基本原則 PART TWO. BASIC PRINCIPLES OF NATIONAL APPLICATION
収集制限の原則 Collection Limitation Principle
7. 個人データの収集には制限があるべきであり、そのようなデータは合法かつ公正な手段で取得し、適切な場合には、データ主体の知識または同意を得て取得すべきである。
7.There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.
データ内容の原則 Data Quality Principle
8. 個人データは、使用目的に関連し、それらの目的に必要な範囲で、正確かつ完全で最新の状態であるべきである。
8.Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up to date
目的明確化の原則 Purpose Specification Principle
9. 個人データが収集される目的は、データ収集時までに明確にされ、その後の利用は、その目的の達成や、目的と矛盾しない他の目的、ならびに目的変更時に指定された目的に限定されるべきである。
9.The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.
利用制限の原則 Use Limitation Principle
10. 個人データは、第9項に従って指定された目的以外の目的で開示、利用、またはその他の手段で利用されるべきではない。ただし、以下の場合を除く:
10.Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with Paragraph 9 except:
a) データ主体の同意を得た場合
a)with the consent of the data subject; or
b) 法の権限による場合
b)by the authority of law.
安全保護の原則 Security Safeguards Principle
11. 個人データは、紛失、無許可のアクセス、破壊、使用、改変、または開示などのリスクに対して、適切なセキュリティ保護措置によって保護されるべきである。
11.Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data.
公開の原則 Openness Principle
12. 個人データに関する開発、実務、方針については、全般的な公開政策があるべきである。個人データの存在と性質、主要な使用目的、データ管理者の身元と通常の所在地を容易に確認できる手段が提供されるべきである。
12.There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identity and usual residence of the data controller.
個人参加の原則 Individual Participation Principle
13. 個人は次の権利を持つべきである:
13.Individuals should have the right:
a) データ管理者、またはその他の者から、データ管理者が自分に関するデータを保持しているかどうかの確認を得ること
a)to obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to them;
b) 自分に関するデータを次の条件で伝達してもらうこと
b)to have communicated to them, data relating to them
i. 適時に
i.within a reasonable time;
ii. 過剰でない料金で(有料の場合)
ii.at a charge, if any, that is not excessive;
iii. 合理的な方法で
iii.in a reasonable manner; and
iv. 自分にとって理解しやすい形式で
iv.in a form that is readily intelligible to them;
c) (a)および(b)の下で行った要求が拒否された場合、その理由を示してもらい、その拒否に異議を唱えること
c)to be given reasons if a request made under subparagraphs (a) and (b) is denied, and to be able to challenge such denial; and
d) 自分に関するデータに異議を唱え、異議が認められた場合は、そのデータを消去、訂正、補完、または修正してもらうこと
d)to challenge data relating to them and, if the challenge is successful to have the data erased, rectified, completed or amended.
責任の原則 Accountability Principle
14. データ管理者は、上記の原則を実施するための措置を遵守する責任を負うべきである。
14.A data controller should be accountable for complying with measures which give effect to the principles stated above.
第3部 責任の実行 PART THREE. IMPLEMENTING ACCOUNTABILITY
15. データ管理者は次のことを行うべきである:
15.A data controller should:
a) 以下の条件を満たすプライバシー管理プログラムを整備する:
a)Have in place a privacy management programme that:
i. 管理下にあるすべての個人データに対して、このガイドラインを実施すること
i.gives effect to these Guidelines for all personal data under its control;
ii. 構造、規模、取扱量、および業務の機密性に合わせて調整されていること
ii.is tailored to the structure, scale, volume and sensitivity of its operations;
iii. プライバシーリスク評価に基づいた適切な保護策を提供すること
iii.provides for appropriate safeguards based on privacy risk assessment;
iv. ガバナンス構造に統合され、内部監視メカニズムを確立すること
iv.is integrated into its governance structure and establishes internal oversight mechanisms;
v. 問い合わせやインシデントへの対応計画を含むこと
v.includes plans for responding to inquiries and incidents;
vi. 継続的なモニタリングや定期的な評価に基づき更新されること
vi.is updated in light of ongoing monitoring and periodic assessment;
b) 適切にプライバシー管理プログラムを実証できるように準備すること。特に、適格なプライバシー執行当局や、このガイドラインを拘束力のある形で実行するための行動規範または同様の取り決めの遵守を促進する責任を持つ他の機関の要請に応じて実証すること
b)Be prepared to demonstrate its privacy management programme as appropriate, in particular at the request of a competent privacy enforcement authority or another entity responsible for promoting adherence to a code of conduct or similar arrangement giving binding effect to these Guidelines; and
c) 個人データに重大なセキュリティ侵害が生じた場合には、適切にプライバシー執行当局や他の関連当局に通知すること。データ主体に悪影響を与える可能性がある場合、データ管理者は該当するデータ主体に通知するべきである。
c)Provide notice, as appropriate, to privacy enforcement authorities or other relevant authorities where there has been a significant security breach affecting personal data. Where the breach is likely to adversely affect data subjects, a data controller should notify affected data subjects.
第4部 国際適用の基本原則:自由な流通と正当な制限 PART FOUR. BASIC PRINCIPLES OF INTERNATIONAL APPLICATION: FREE FLOW AND LEGITIMATE RESTRICTIONS
16. データ管理者は、データの所在地に関係なく、自らの管理下にある個人データについて責任を負うべきである。
16.A data controller remains accountable for personal data under its control without regard to the location of the data.
17. 加盟国は、他国が(a)本ガイドラインをほぼ遵守している場合、または(b)データ管理者によって導入された適切な措置や効果的な執行メカニズムなど、十分な保護策があり、本ガイドラインに沿った保護レベルが継続されることが確実である場合、他国との間で個人データの国境を越えた流通を制限することを控えるべきである。
17.A Member country should refrain from restricting transborder flows of personal data between itself and another country where (a) the other country substantially observes these Guidelines or (b) sufficient safeguards exist, including effective enforcement mechanisms and appropriate measures put in place by the data controller, to ensure a continuing level of protection consistent with these Guidelines.
18. 個人データの国境を越えた流通に対する制限は、データの機密性、処理の目的および状況を考慮して、提示されるリスクに見合ったものであるべきである。
18.Any restrictions to transborder flows of personal data should be proportionate to the risks presented, taking into account the sensitivity of the data, and the purpose and context of the processing.
第5部 国内実施 PART FIVE. NATIONAL IMPLEMENTATION
19. 本ガイドラインの実施において、加盟国は次のことを行うべきである:
19.In implementing these Guidelines, Member countries should:
a) 政府機関全体で調整されたアプローチを反映した国家プライバシー戦略を策定する。
a)develop national privacy strategies that reflect a co-ordinated approach across governmental bodies;
b) プライバシーを保護する法律を採用する。
b)adopt laws protecting privacy;
c) ガバナンス、資源、専門知識を備えたプライバシー執行当局を設立し、その権限を効果的に行使し、客観的で公正かつ一貫した判断ができるよう維持する。
c)establish and maintain privacy enforcement authorities with the governance, resources and technical expertise necessary to exercise their powers effectively and to make decisions on an objective, impartial and consistent basis;
d) 行動規範などの形で自己規制を奨励し、サポートする。
d)encourage and support self regulation, whether in the form of codes of conduct or otherwise;
e) 個人が権利を行使できる合理的な手段を提供する。
e)provide for reasonable means for individuals to exercise their rights;
f) プライバシー保護法に違反した場合に、適切な制裁および救済措置を講じる。
f)provide for adequate sanctions and remedies in case of failures to comply with laws protecting privacy;
g) 教育・啓発、スキル開発、プライバシー保護に役立つ技術的措置の促進を含む補完的な措置の採用を検討する。
g)consider the adoption of complementary measures, including education and awareness raising, skills development, and the promotion of technical measures which help to protect privacy;
h) データ管理者以外の関係者の役割を、それぞれの役割に応じて検討する。
h)consider the role of actors other than data controllers, in a manner appropriate to their individual role; and
i) データ主体に対して不当な差別が行われないようにする。
i)ensure that there is no unfair discrimination against data subjects.
第6部 国際協力と相互運用性 PART SIX. INTERNATIONAL CO OPERATION AND INTEROPERABILITY
20. 加盟国は、プライバシー執行当局間の情報共有を強化することにより、特に国境を越えたプライバシー法執行協力を容易にするための適切な措置を取るべきである。
20.Member countries should take appropriate measures to facilitate cross-border privacy law enforcement co-operation, in particular by enhancing information sharing among privacy enforcement authorities.
21. 加盟国は、本ガイドラインを実務的に実行するプライバシー枠組み間の相互運用性を促進する国際的な取り決めの発展を奨励し、支援すべきである。
21.Member countries should encourage and support the development of international arrangements that promote interoperability among privacy frameworks that give practical effect to these Guidelines.
22. 加盟国は、プライバシーおよび個人データの国境を越えた流通に関連する政策決定プロセスに情報を提供するために、国際的に比較可能な指標の開発を奨励すべきである。
22.Member countries should encourage the development of internationally comparable metrics to inform the policy making process related to privacy and transborder flows of personal data.
23. 加盟国は、このガイドラインの遵守の詳細を公表すべきである。
23.Member countries should make public the details of their observance of these Guidelines.
いかがでしたでしょうか?
広く知られている8原則は、このガイドラインの第2部のことで、ガイドラインには越境移転等、国際適用の規範も多く記載されていたことに今回初めて気づきました!
いずれも、普遍的な内容ですが、改めて読み返してみると、ハッとするような箇所もありますね。
たとえば、
7. 個人データの収集には制限があるべきであり、そのようなデータは合法かつ公正な手段で取得し、適切な場合には、データ主体の知識または同意を得て取得すべきである。
この原則に照らして、取得時のデータ最小化、適正取得、情報提供は十分?とか、
日本では、クラウド事業者が個人情報を取り扱わない…が論点になりがちですが、
16. データ管理者は、データの所在地に関係なく、自らの管理下にある個人データについて責任を負うべきである。
この原則に従えば、(委託としてもしなくても)
データ管理者自らの責任で、安全管理できてる?、などなど。。
日本の法はOECD8原則に準拠しているとはいえ、実務で本当にできているかはちょっとあやしい面も?
個人情報保護法の3年ごと見直しの中間取りまとめのパブコメも、今月5月に始まりそう…
基本に立ち返って、改めて見返してみる価値はあるなぁ、とおもいました。
それではまた!
明日からお仕事再開、がんばりましょー🌟
p.s.1
OECD8原則の解説
年末に書いたこちらの個人情報保護法の解説本にも入ってます!
p.s.2 TOEIC対策
GWにひと回ししたTOEIC本。
手強かったけど、勉強になりました! Part5の穴埋め問題は文の構造を素早く識別する必要がありますが、この8原則は英作文での練習に使える気がしました!
今日のDall-E3
鯉のぼりが鯉の水族館風に!w
柏餅がよもぎパン風に!w
日本独自文化ものはAI学習が足りないのか、やっぱ弱いですね^^
この記事が気に入ったらサポートをしてみませんか?