今回はGDPRの「透明性に関するガイドライン」(Guidelines on transparency)の記事です。2019年フランスのデータ保護機関が、Googleの透明性に関するGDPR違反に対して5000万ユーロの制裁金の支払いを命じた事例がありました。過去の話のように受け止められるかもしれませんが、昨今話題になっている生成AIの利活用に際しても「透明性」は大変重視されています。また、Googleの制裁事案は遠い国の話、あるいは大企業の話ではなく、GDPRにおいて「透明性」がいかに重視されている原則か伝われば本ブログの役目としては十分と考えています。

GDPRの原則としての透明性

GDPR第5条 「個人データの取り扱いに関する原則」には、個人データはデータ主体(用語は「GDPR 第2回 適法条件」にてご確認ください)との関係において、適法、公正かつ透明性のある手段でなければならないとあります。このガイドラインGDPR第5条第2項のアカウンタビリティに関する説明では、下記のように透明性に言及して説明しています。(GDPR第5条第2項には「透明性のある方法」とまでは書いていない)

the controller must always be able to demonstrate that personal data are processed in a transparent manner in relation to the data subject.(抜粋)

(仮訳 管理者は常に、個人データがデータ主体との関係において透明性のある方法で処理されていることを証明できなければならない。)

GDPRに基づく透明性の要素

実はGDPRでは「透明性」について定義されていません。このため、GDPR前文およびGDPR第12条の記述内容をお伝えした上で、このガイドラインの解説に入りたいと思います。

GDPR前文第39項

ガイドラインでは、この透明性の意味について下記のGDPR前文第39項を引用して説明しています。

The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used.
(仮訳 透明性の原則は、個人データの処理に関連するあらゆる情報およびコミュニケーションに容易にアクセスでき、理解しやすいものであること、そして明確で平易な言葉を使用することを要求する。)

GDPR第12条

この前文で書かれている内容がGDPR第12条第1項にほぼ書かれています。

The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child.(抜粋)

(仮訳 管理者は、第13条および第14条で言及される情報、ならびに処理に関する第15条から第22条および第34条に基づく通知を、簡潔で透明性があり、分かりやすく、容易にアクセス可能な形式で、明確かつ平易な言語を用いて、特に子どもに宛てて提供するために適切な措置を講じるものとする。)

ガイドラインでは

ガイドラインでは簡潔に次のように書かれています。

"Concise, transparent, intelligible and easily accessible" 

(仮訳 簡潔で、透明性があり(「明瞭な」という表現の方が良いのかもしれない)、わかりやすく、簡単にアクセスできる)

(1)簡潔さ(concise)

実は、このガイドライン中にconciseに関する説明がほぼ存在しておらず、「なんでだろう?」と感じました。

日本語の「簡潔」を英訳すると、conciseの他にsimplicityと出てきます。一見似たような言葉で「simplicity」はシンプルでわかりやすく簡略化する意味合いですが、「concise」とは少し意味合いが異なるようです。オックスフォード現代英英辞典で「concise」を調べてみると下記のように「必要かつ重要な情報のみを少ない言葉で伝える」となっており、「concise」と表現した時点で意図を表したものだと理解しました。たった一語でどういうものか表しているのだと思うと、改めて言葉の重みを感じます。

giving only the information that is necessary and important, using few words
データ主体に提供されるべき情報

前述の個人データの取り扱いの際にデータ主体に伝えなければならない重要且つ必要な情報は、ガイドラインにある表にまとめられています。

要約・簡略化した項目を列記します。詳細は前述のガイドライン(こちらのAnnex)を必ずご参照ください。

  • 管理者の連絡先
  • DPOの連絡先
  • 取り扱いの目的と法的根拠
  • 正当な利益が取り扱いの法的根拠とされている場合、データ管理者または第三者によって求められる正当な利益
  • 関連する個人データの種類
  • 個人データの取得者
  • 第三国への移転の詳細・保護措置詳細
  • 保存期間
  • データ主体の権利
  • 同意を取り消す権利(取扱いが同意に基づく場合)
  • 監督機関に不服を申し立てる権利
  • GDPR第13条第2項(e)に基づく情報
  • データ主体から個人データを取得していない場合の情報源
  • プロファイリングを含む自動化された意思決定の存在

(2)透明性(transparent)

透明という言葉は一見理解しやすそうでわかりにくいので、また「透明性」はこのガイドライン全体にもかかりややこしくなるので「明瞭」(clear)に置き換えて解説します。ガイドラインでは "Clear and plain language" で解説されています。明瞭であるために、複雑な文章は避けて、具体的・明示的に伝えるように、また異なる解釈の余地を残さないように伝えるべきであると説明されています。

明瞭であるために避けるべき修飾語

ガイドラインでは表現が曖昧にならないように避けるべき表現が列記されています。

  • 可能性がある(may)
  • かもしれない(might)
  • ある程度(some)
  • しばしば(often)
  • ありうる(possible)

思い起こせば大学の卒業論文の指導教員からも同様の指導を受けたことを懐かしく、そしてありがたく思い出します。

(3)理解しやすく(intelligible)

「理解しやすく」(intelligible)に関しては、データ主体となる人々のうち平均的な方に理解される意味になっています。前出の "Clear and plain language" の後半の部分 "plain language" (平易な文言)がそれに該当すると考えています。なお、これらのキーワードの説明は個々に定義されていないため、本ブログの説明の便宜上 "Clear" と "plain language" で分けていることをご了承いただければ幸いです。

子どもやその他弱い立場にいる人に向けて

前出のGDPR第12条にも書かれていた子どもに向けての適切な措置に関してもこのガイドラインでは解説されており、「子どもの権利に関する条約」(ユニセフのConvention on the Rights of the Child)を参照すると、文面のわかりやすさや・子どもへ伝わりやすい文体と表現が理解されやすいかと思います。

伝える手段

メディアによる制約(画面を持たないIoT機器)やわかりやすく伝えるために次のような方法もあります。

  • 1コマ漫画やインフォグラフィック、フローチャート
  • 音声や、QRコードの印字
  • 口頭(データ主体の身元が他の手段によって証明されていれば)
  • 録音メッセージによる自動案内

(4)容易にアクセスできる(easily accessible)

大量のテキストスクロールを回避するため、階層的な通知方法を用いる(アクセスしたい箇所を直ちに表示できるようにする)「容易にアクセスできる」データ主体が情報を探す必要がなく、一目瞭然であること

Googleへの制裁

ここまでの説明を踏まえて、冒頭で紹介した2019年1月フランスのデータ保護機関(CNIL)が、Googleに対してGDPRに違反したとして、5000万ユーロの制裁金の支払いを命じた際の事例を取りあげておこうと思います。

違反内容は大きく分けて二つ。一つ目は広告のパーソナライズ処理の際の同意が有効でないとするもの。二つ目が今回のブログのテーマである透明性に関するものでした。

透明性に関する違反

透明性に関するガイドラインに照らし合わせると以下のような箇所に不備があるというものでした。

容易にアクセスできない

利用者に提示が必要な情報が分散している上に、最大5回6回の操作を行わないと関連する情報に到達しない。

透明性の欠如

処理の目的があまりにも曖昧な記述であり、法的根拠も不明瞭。一部のデータは保存期間も提供されていなかった。

この制裁では、Googleは大企業なので、GDPRの制裁金の上限の一つである2000万ユーロを超えた制裁金5000万ユーロである事でも注目を集めました。このことからも透明性という GDPR の基本原則に関しての重要さがわかるかと思います。

まとめ

細かな用例、説明は「透明性に関するガイドライン」(Guidelines on transparency)原文もしくは個人情報保護委員会様の仮日本語訳を参考にされると良いかと思います。あらためて下記の基本事項を念頭にプライバシポリシーをはじめとしたお客様との接点になるドキュメント・お知らせで透明性を進化させていけば、きっとみなさまの企業に置かれてもブランディングにも寄与するのではないかと考えております。

  1. 簡潔さ(concise)
  2. 透明性(transparent)
  3. 理解しやすく(intelligible)
  4. 容易にアクセスできる(easily accessible)

今回はガイドラインから透明性に関する解説をさせていただきましたが、簡潔で明瞭、そして重要な情報をわかりやすく伝える事の難しさをあらためて感じた今回のブログでした。

※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。