【データ法】管理者と処理者 ーGDPRの適用主体ー
こんにちは。
お読みいただきありがとうございます。
ここ最近の【データ法】のエントリーは、お客さんから「今回のビジネスって、GDPR上問題ありますか?」という相談を受けたことを想定して、ぼくの思考の流れに沿って、GDPRの各トピックを紹介しています。
前々回で紹介したとおり、まず、「個人データ」を特定します。
次に、前回のエントリーでまとめましたが、問題となる操作が「処理」に該当することを確認します。これは、行為の問題ですね。
GDPRは、ある者(=主体)の個人データ(=客体)の処理(=行為)について、ルールを定めた規則です。そのため、GDPRの具体的問題を検討する際には、これらの要素を確認して、GPDRの適用対象であることを確かめることになります。
前二回で「客体」と「行為」を見てきました。今回は、残る「主体」の問題について考えます。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
管理者(controller)と処理者(processor)
GDPRの条文を読むと、多くの条項が「The controller shall…」「The processor shall…」という文章から始まっていることに気づくのではないでしょうか。このshallとは、義務を意味します(*1)。
GDPRが規制の対象としているのは、基本的に、管理者か処理者による個人データの処理です。
つまり、GDPRの問題の検討に当たっては、当該個人データの処理に関して、誰が管理者で誰が処理者なのかを確定する必要があります。
管理者と処理者について見ていきます。
管理者とは?
Art. 4(7)は、次のように定めています(太字はぼく)。
‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data…
日本語訳(*2)だと、こうですね。
「管理者」とは、自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。
処理者とは?
続いて、処理者については、Art. 4(8)が次のように定めます(太字はぼく)。
‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller
仮訳だとこう。
「処理者」とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。
なぜ、両者の区別は重要なのか?
GDPRは、管理者と処理者に対して義務を課していますが、それぞれで課されている義務の内容が異なります。
そして、一般的には、管理者の方が義務が重いです。個人データの処理を決定する主体なので、そりゃそうですよね。
義務の具体的内容については、一旦割愛します。
またどこかで書こうと思っています!
両者をどうやって区別するのか?
前提として、個人データを処理する者は、管理者か処理者のいずれかに必ず該当します。もし、相談にやってきた人(会社)が個人データを処理していなければ、GDPRが適用されることはあり得ず、そこで相談終了です。
管理者は脳みそ、処理者は手足
では、管理者と処理者はどのように区別すればよいのでしょうか。
ざっくり言うと、ぼくは、次のようにイメージしています。
管理者(脳みそ)=個人データの取扱いの目的及び方法を決定する者
処理者(手足)=管理者の代わりに個人データを取扱う者
例えば、あるメーカーが給与計算業務をサービス会社に委託する場合、給与計算のための個人データの処理について、メーカーが管理者、サービス会社が処理者ということになります。
処理者が存在しない個人データの処理もあり得ます。
管理者自身が個人データを処理する場合ですね。上の例だと、メーカーが自社の人事部で給与計算を行う場合には、処理者は存在しません。
個人データの処理の「目的及び方法を決定する」とはどういう意味か?
管理者の判断基準である「目的及び方法の決定」は、しばしば個人データの処理の理由と手段を決定することであると言い換えられます。
つまり、個人データを処理するのは、ある目的を達成するためであり、その達成のための方法として個人データの処理が決定されるはずであり、これを決定するのが管理者であるということです。
区別に迷ったときは?:本質的手段と非本質的手段
とはいえ、実際の事例では迷うケースも出てきます。
特に、SaaSを利用する場合のように、個人データの処理の詳細をベンダーが決定しており、ユーザーはベンダーがデザインした標準的なサービスを利用しているに過ぎないときにも、ユーザー=管理者、ベンダー=処理者の構図が維持されるでしょうか。
このような場面では、手段を本質的なものと非本質的なものに分けて、本質的な手段の決定に関わっている者について管理者と考えることが有用です。手段の本質/非本質性は、処理の目的・範囲との密接性から判断します。例えば、特定の目的の達成のために、どの個人データを・いつまで処理すべきかといった要素を決定することは本質的な手段と言えます。
共同管理者(joint controller)
個人データの処理を行う者が2名以上いても、処理者が存在しない場合があります。それは、全員が管理者であり、共同管理者となる場合です。
Art 26(1)は次のように定めています(太字はぼく)。
Where two or more controllers jointly determine the purposes and means of processing, they shall be joint controllers.
つまり、個人データの処理の目的及び方法を一緒に決定したと言える場合には、彼らは共同管理者となるわけです。
テック系サービスの成熟により、複雑なデータ共有の取り決めは増加しており、共同管理者という概念の重要性は増加しています。
例えば、Fashion ID事件(*3)では、自社のWEBサイトにFacebookの「いいね!」ボタンを組み込んで、サイト訪問者の個人情報を収集してFacebookに送信していた事例で、サイト運営者とFacebookが共同管理者であると認定されています。
おわりに
今回、ぼくがお伝えしたかったのは次の3点です!
・個人データの処理を行うのは「管理者」か「処理者」
・管理者(脳みそ)=個人データの取扱いの目的及び方法を決定する者
・処理者(手足)=管理者の代わりに個人データを取扱う者
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 たとえば、「The buyer shall pay the contract price within five business days after delivery of the goods.」であれば、「買主は商品引渡し後5営業日以内に、契約金額を支払わなければならない。」という意味になります。
*2 個人情報保護委員会が公開している仮訳です。リンクはこちら
*3 Case C-40/17, Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW e.V., judgment of 29 July 2019 (ECLI:EU:C:2019:629)
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
今回の記事のほかにも、データ法に関する解説を書いています。
ぜひ、ご覧ください!
この記事が気に入ったらサポートをしてみませんか?