コメント欧州連合の GDPR 施行まであと数週間となった今、データ保護に関する話を聞くこと、読むこと、話すことにうんざりしているのも当然でしょう。
そして、第二次世界大戦後に英国に到着したカリブ諸国出身の何千人もの国民の上陸記録を英国政府が明らかに破棄したというウィンドラッシュ事件が起こる。
政府の公式見解は、データを保持することは1998年のデータ保護法と情報コミッショナー事務局の第4原則と第5原則に違反するというものだった。
もちろん、必要がなくなった文書を破棄するのは当然のことです。実際、それは理にかなっているだけでなく、ICO の原則に従ってそうする義務があります。
しかし、原理を読んでみると、データを保持する期間はおよそ一本の紐の長さと同じであることがわかります。
おそらく、この議論の中心となる主題は、データの保持です。
データ規制と保護の海を泳ぎ回ってきた私は、こうしたことすべて、そして何が起こり得たのか、そして何が起こるべきだったのか、非常に興味をそそられました。私は普段、企業の役員からデータ保持について相談を受けることがあります。その際には、データ保持と廃棄に関するポリシーが必要だと答えます。「そして廃棄」を強調するのは、ほとんどの人がなかなか手を付けない部分だからです。内務省の見解を信じるなら、まさに廃棄の部分で失敗したと言えるでしょう。
議員らがUK.govの移民データ免除計画を批判
続きを読む
私は人々に、法律で保存が義務付けられているものを確認するように伝えています。さらに、契約上の要件や業界のベストプラクティスも確認し、妥当性を確認するよう促しています。なぜなら、いわゆる「ベストプラクティス」の中には、私にはあまりにも寛大すぎるように思えるものがあり、おそらくデータの保存期間はもっと短くすべきだからです。結果として、(a) 法律/規制当局/契約で義務付けられている場合、または (b) 「その他の」理由で正当化できる場合のみ、データを保存するポリシーが策定されるべきです。
2010年当時の内務大臣(英国首相テリーザ・メイ氏自身)についてどう思うかはさておき、ウィンドラッシュ事件のファイルを監督していた大臣や高官が、データ廃棄に承認を与える必要などあったはずがありません。適切なデータ管理方針が整備され、月1回、あるいは四半期に1回といった日常的な業務の一環として、上方参照を必要とせずに済むようにすべきでした。
データを廃棄するのではなく、ポリシーの例外を設けてデータを保持することに同意してもらう方が適切でしょう。
そこで次の話になる。ガーディアン紙は、記録を破棄する決定は、2010年にクロイドンにある内務省のウィットギフトセンターが閉鎖され、職員が別の場所へ異動したときに行われたと主張する、名前を明かさない元従業員の話を引用している。
内務省は同紙に対し、英国国境庁が2010年に「登録票と呼ばれる一部の文書を安全に廃棄する」ことを選択したことを認めた。内務省は、データ保護の観点から「個人データが必要以上に長期間保管されないようにするため」にそうしたと主張した。
さて、私はこれまで多くの情報セキュリティポリシーを作成してきました。その中には、オフィスを閉鎖する際にIT機器を安全に廃棄する方法について(かなり理にかなっていると思いますが)言及しているものもあります。「古くなって無意味に見える、あるいは埃が3/8インチ(約9.7cm)以上積もっている古い文書は、すべて破棄してください」などと書いた覚えはありません。また、既存のデータ保護法にも、新しいGDPRにも、個人データの恣意的な分類を要求する条項があるのを私は知りません。
先ほど使った「他の理由で正当化する」という言葉が少し曖昧だと思った方もいるかもしれません。その通りです。では、重要な理由を見てみましょう。
なぜそれにしがみつくのですか?
データは、正当な理由がある限り保持するべきです。つまり、必要になると合理的に予想される期間、そして物理的な廃棄処理に時間がかかる場合もあるため、数か月程度は保持しておくべきです。
ウィンドラッシュのデータはもはや「必要」ではなかったと言えるだろうか?後から考えると、そうではない。内務省はどれくらいの期間、データを保管することを正当化できただろうか?例えば75年とすれば、ICOは文句を言うのは難しいだろう。なぜなら、親や祖父母を通じて英国市民権を主張する人がそのデータを必要とするかもしれないと主張できるからだ。
UK.govに「データ保護法案の移民免除を撤廃しなければ、法廷で争うことになる」と通告
続きを読む
ICOは、データの保有と廃棄だけでなく、個人データの処理の必要性についても条件を定めています。どのような根拠に基づいてこの特定のデータを処理できるのでしょうか?そして、それゆえに、データを保持する根拠となるのでしょうか?処理の条件はこちらでご覧いただけます。その中には、「処理は司法の執行、または法定機能、政府機能、その他の公的機能の遂行に必要である」という条項があります。
しかし、将来はどうでしょうか?GDPRは5月に施行されます。これにより、データの収集、保有、保護に関するルールや原則は変わるでしょうか?現行法を適切に遵守していれば、ほとんど変化はありません。変化の多くは、アクセスと削除のリクエスト、通知と保護、データ保護と許可、そしてこれらすべてをサポートするための「適切な」手順、ポリシー、そして行動にあります。
実際のデータ処理に関しては、第 6 条で「データ主体または他の自然人の重大な利益を保護するために処理が必要な場合」のデータの合法的な処理が規定されています。
誰かの移民ステータスを証明する唯一の手段を提供する文書は私にとって非常に重要な関心事のように思われるので、そのような記録を保管することに問題はないはずです。
GDPR では、第 89 条に基づき、データの合法的な処理に別の範囲も認められています。つまり、「公共の利益のためのアーカイブ目的、科学的または歴史的研究目的、または統計目的の処理」です。
そうすると、現在の、あるいは計画中のデータ保護法の下でも、内務省の行動を正当化する根拠はないと私は思う。
では、これでデータの保管、保護、廃棄という悲惨な時代は終わりを迎えるのでしょうか?おそらくそうではないでしょう。英国の公的機関は、機密文書を紛失したり、大規模な保護に失敗したりすることで知られています。
次回の記事は、犬の散歩中に、どこかのゴミ箱で飛ばされている細断されたウィンドラッシュ文書を偶然見つけたときに公開される可能性が高いでしょう。®
