小向太郎、石井夏生利『概説GDPR』

GDPRことEUの一般データ保護規則についての概説書。GDPRについては入門的な本から逐条解説まで出ているが、この本は日本の個人情報保護法と比較する形で、表やフローチャートを交え、GDPRの特徴を浮かび上がらせている。逐条ではないが内容をテーマごとにまとめて記している。分かりやすい良書。

内容はGDPRの概説、規制内容、法執行体制、日本企業の対応について。最後に著者たちの対談が載っている。日本法との対比はとても参考になる。そもそも保護対象とする個人データ(personal data)は一人の人を選び出す(single out)、識別する(identify)ことのできるデータを言う。クッキー、IPアドレス、携帯電話番号も含む点で日本の個人情報保護法が定める個人情報より広い(p.27-29)。クッキーについては、eプライバシー規定の行方によっては、EU市民が見るウェブサイトでクッキーを利用するのならば、EU域内の代理人の指定が求められる可能性がある(p.156f)。

匿名化処理を見ても、EUの厳格さが目立つ。日本の個人情報保護法は通常人の能力を基準として、特定の個人を復元できなければ良いとしている。これは産業界との妥協の結果。日本法は経済振興の名のもとに、やや企業側が使いやすいようになっている。だが、GDPRは何人にとっても不可能とした場合のみと強めている(p.32)。同じ匿名化という単語でも、日本とEUでは匿名化データと見なされるかどうかは変わる。

個人データの内部利用は日本法では利用目的を公表するだけでよいが、GDPRでは業務上正当な理由に基づいているか、適法化根拠が問われる。この適法性は本人の利益とのバランスであり、解釈の余地が大きい(p.52-59)。この適法化根拠の条項（第6条）がGDPRでもっとも重要で、削除権やデータポータビリティ権もこの適法化根拠の観点から見るべきとのこと(p.165)。

他にも、組織におけるデータガバナンスの中心となるDPO（データ保護責任者）の定義と権限がまとまりよく書いてある。DPIA（データ保護影響評価）による事前のリスク評価も。ただし、データ保護の責任を追うのはあくまで管理者または処理者であって、DPOではない(p.112-129)。

条文そのものだけでなく、前文、解説と多岐に渡るGDPRの内容をきちんと解説している割には読みやすい。