W欧州委員会が一般データ保護規則を可決したとき () 2016 年に、個人データに関する膨大な新しいプライバシー要件、セキュリティ要件、および欧州連合および世界中で組織がビジネスを行う方法を変えるシステムを作成しました。

GDPR 施行の初年度 (2018 年 5 月から 2019 年 5 月) に、144,000 件を超える個別の苦情が規制当局に提出され、89,000 件を超えるデータ侵害通知が発行され、5,600 万ユーロを超える罰金が課せられたとユーロポールは記録しました。

「一般データ保護規則は実を結んでいます」と、当時EUの司法・消費者・ジェンダー平等担当委員だったヴェラ・ジョロバ氏は、GDPR施行1周年を記念した声明で述べた。 「これにより、ヨーロッパ人はデジタル化の課題に対処するための強力なツールを手に入れ、個人データを管理できるようになります。デジタル革命に対する人々の信頼を確保しながら、企業にデジタル革命を最大限に活用する機会を与えます。」

しかしこの規制により、捜査関係者の間では、自分たちが捜査を受けていることを校長に通知する必要があるのかという懸念も生じた。

「私たちは日常的に取引相手の承認なしに調査を行っています」と、ニューヨーク市に本拠を置く企業諜報機関インターフォー・インターナショナルの社長、CPP、PCI、PSPのドン・アビブ氏は言う。 「取引相手が調査を認識していて、その情報を保持することを許可しなかった場合、何ができるでしょうか?」

GDPR の基本

欧州委員会は 2016 年に GDPR を可決し、2018 年 5 月に規制の施行を開始するまでに組織が遵守するための 2 年間の猶予期間を設けました。

GDPR は、EU 加盟国、および欧州連合内でデータを処理する組織、または欧州連合内に居住する個人の個人データを処理する組織に対して、指定された明示的かつ正当な目的でのみ個人データを収集することを義務付けています。データは合法的かつ公正に処理され、過度ではなく関連する目的のためにのみ収集され、正確である必要があります。

個人データは必要以上に長く保存してはならず、組織は個人データを保護するための安全策を講じる必要があります。これには、不正または違法な処理から個人データを保護すること、偶発的な紛失や破壊から保護すること、アクセスを保護するための技術的および組織的対策の導入が含まれます。

ほとんどの場合、GDPR の対象となる組織や機関は、誰かの個人データを収集して保存するために同意を得る必要があります。また、一般に、個人が組織に要求した場合には、個人のデータを消去しなければなりません。さらに、機関は特定の状況を除き、要求に応じて個人のデータを利用できるようにする必要があります。

組織は、保管しているデータのリスク評価を実施し、データ侵害通知義務に従い、個人のデータを収集する理由を広範囲に記録することも求められています。

ただし、例外もあります。たとえば、GDPR では、法執行機関や国家安全保障機関がデータを収集するために個人から同意を得る必要がないことを具体的に概説しています。

「個人データの処理は、関係する自然人に関して合法、公正、透明でなければならず、法律で定められた特定の目的のためにのみ処理されなければなりません。」と欧州委員会は述べています。 「このこと自体は、法執行当局が秘密捜査やビデオ監視などの活動を行うことを妨げるものではない。そのような活動は、刑事犯罪の予防、捜査、発見、訴追、または公共の安全に対する脅威の保護と防止を含む刑事罰の執行を目的として行うことができる。」

当局は、収集した個人データが不正にアクセスされたり配布されたりすることを防ぐための安全策を作成および維持する必要があります。他の組織とは異なり、法執行機関はデータを保持するだけで削除できない場合があります。

「…所管当局は、犯罪行為の理解を深め、検出されたさまざまな犯罪犯罪間の関連性を明らかにするために、特定の犯罪犯罪の予防、捜査、検出、または訴追の文脈で収集された個人データを、その文脈を超えて処理する必要がある。」

また、ほとんどの組織とは異なり、法執行機関は個人に関して収集したデータをその人と共有することを拒否することができます。ただし、その拒否が書面で共有され、データを共有できない事実上または法的な理由が説明されている限りに限ります。

「加盟国は、公的または法的な調査、捜査、手続きの妨害を避けるため、刑事犯罪の予防、捜査、摘発、訴追や刑事罰の執行に悪影響を与えることを避けるため、公共の安全や国家の安全を保護するため、または他者の権利と自由を保護するために、データ主体への情報を遅延、制限、または省略する立法措置を講じることができるべきである」と欧州委員会は説明した。 「[データ]管理者は、各ケースの具体的かつ個別の調査を通じて、アクセスの権利を部分的に制限すべきか完全に制限すべきかを評価する必要があります。」

契約調査員

欧州委員会は法執行機関がGDPRによってどのような影響を受けるかを明らかにしているが、私立探偵に対してはそれほど明確には示していない。 2016 年に GDPR が採択されたとき、この規制が民間部門の調査実施能力にどのような影響を与えるかについて、さまざまな団体が懸念を表明した、と Debevoise & Plimpton のホワイトカラーおよび規制防衛グループのパートナー、ジェーン・シュベッツ氏は述べています。

ロンドンとニューヨークの両方で顧客と仕事をしているシュベッツ氏は、ホワイト カラーの防御と内部調査に重点を置くとともに、データ保護とサイバーセキュリティの問題について顧客にアドバイスしています。GDPR 準拠期限後、シュベッツ氏は、規制当局が違反者に科す可能性のある高額な罰金（全世界の年間売上高の最大 4 パーセント）のため、誰もがデータ保護にさらに注意を払うようになっていると述べています。

GDPR が調査員に導入する要件には課題がありますが、「乗り越えられないハードルがあるとは言えません」と Shvets 氏は言います。 「そこに到達するには、飛び越えなければならない輪がさらにたくさんあるかもしれません。」

GDPR の中核となる要素の 1 つは透明性の原則です。つまり、個人は自分の個人データが収集されているかどうか、どのように収集され、どのような用途に使用されるかを知る権利があるというものです。しかし、GDPR には、データが処理される目的を損なわない場合には、透明性の原則が適用されるという条項もあります、と彼女は説明します。

「誰かが詐欺を働いたり違法行為を行ったりした場合、調査のために行っている手順をその人に警告すべきではないという強力な根拠があると主張することもできます。」とシュベッツ氏は言う。

また、企業が従業員を調査している場合、その従業員に関する情報を収集し、保存および処理できる法的権利をすでに有している可能性があります。

「通常、雇用契約には従業員が会社の電子メールやインターネットを使用しているかどうかが規定されており、会社にはそれを監視する権利があります。合理的なプライバシーの権利はありません」とシュベッツ氏は言う。 「EU では、多くの組織が雇用契約にそのことを定めています。」

外部調査員を雇用する場合は、組織の法務チームが関与してプロセスを支援し、契約書に GDPR に準拠した要件の概要が記載されていることを確認する必要があります。

「私たちは法律事務所であり、クライアントが調査を行うことを決定した場合、調査機関と協力することがよくあります」とシュベッツ氏は言います。 「私たちはクライアントに代わってこれらの企業と提携しており、データ保護に大きな注意を払っています…企業はすべてのデータが GDPR に準拠していることを調査官に表明する必要があります。」

これは、調査会社が不正アクセスを防ぐために、データを暗号化したりパスワードで保護したりするなど、クライアントのために収集したデータを適切に保護していることを意味します。企業は、クライアントへの業務の過程で収集されたデータが第三者に転送されるかどうかを詳細に説明する必要があります。

「私の経験では、彼らは通常、顧客データを保護するために講じる措置について広範な規定を設けています」とシュベッツ氏は付け加えた。 「そして、そのような措置を求める企業が増えています。データを取得すれば自由になれるというだけではありません。データを保護してから廃棄する必要があります。必要以上に長く保持することは許可されていません。」

組織は、調査の対象となった個人とのデータ共有を拒否することもできます。ただし、企業に代わって調査を行う調査会社にとって、これはさらに困難です。個人とのデータ共有の要求を拒否するには理由が必要です。

理由の一つは法的特権でしょう。もう 1 つは、組織がその個人が犯罪を犯したという証拠を発見し、データを法執行機関に引き渡した場合です。

「あるいは、文書に他の個人の個人情報も含まれている場合です」とシュベッツ氏は言います。

その影響

GDPR は調査官に新たな課題と事務処理要件をもたらしますが、調査員の仕事の範囲を制限するものではないとロンドンの Conflict International Limited のコンプライアンスおよび開発担当ディレクターの Roger Bescoby 氏は言います。

2016 年に GDPR が承認されたとき、彼の会社は、新しい規制が仕事にどのような影響を与えるかについてスタッフと顧客を教育するための文書と勧告を作成しました。

最大の変化は、企業がどのように規制に準拠して業務を遂行しているかを示す明確な監査証跡が必要になったことだとベスコビー氏は言う。同社は、クライアントが探しているものの範囲を概説するピッチを送信したときに、このプロセスを開始します。その後、同社はコスト見積もりを作成し、影響評価を実施し、その訴訟が正当であるかどうかを説明します。

「規制当局に説明してもらった中で一番良かったのは、子供の頃に練習帳を持っていたときのようなもので、自分の作品を見せなければならなかったということです。」
彼は説明します。

このことの重要な部分は、シュベッツ氏も強調しているが、顧客と会社の両方に、なぜ調査を受けているのかを個人に告げることなく、なぜこの調査を実施する必要があるのか、そしてその法的根拠を説明させることである。

「もし誰かが突然電話して、私に代わってデヴィッド・ジョーンズ、あるいは休暇中に出会った女性を探してほしいと頼んだとしたら、その人はその人を見つけたいと思う間違った理由を持っている可能性があります」とベスコビー氏は付け加えた。 「このプロセスが行われる正当な理由があるかどうかを確認する必要があります。契約の履行に必要ですか？」

企業はコンプライアンスに対する姿勢を示し、保存するデータのセキュリティを強化する必要があるため、GDPR は業界の「クリーンアップ」にも役立ったとベスコビー氏は説明します。現在では、アクセスしたデータとそのデータが誰と共有されたかを記録することが求められています。

このプロセスにより、規制当局が企業がデータを保存する理由と方法を理解するための監査証跡が作成される一方で、調査官とそのスタッフの作業も増え、コストが増加する可能性があるとアビブ氏は説明する。 「私たちは事務手続きに追われています」と彼は付け加えた。

ベスコビーと彼のCEOは二人とも世界探偵協会の会員です。この関係により、ベスコビーは GDPR とそれが捜査官の仕事にどのような影響を与えるかについて捜査官に数多くのプレゼンテーションを行ってきました。

彼が引き続き驚いていることの 1 つは、多くの個人が、欧州連合内の個人を調査していないため、自分の組織は規制の対象ではないと考えていることです。

「交渉中に私が発見した GDPR の最大の誤解は、GDPR はヨーロッパから発祥したものであるため、EU とその国民にのみ適用されるということでした」とベスコビー氏は言います。 「それは間違いです。誰にでも当てはまります。」

そして確認のため、ベスコビー氏は英国の情報権を擁護する独立機関である情報コミッショナー局（ICO）に書簡を送りました。 ICO は彼に、GDPR は EU データを管理および処理するあらゆる組織や機関に適用されると説明しました。

「ノルウェーに中国人男性が住んでいる可能性があります。その人の出身地や居住地は関係ありません。そのデータが EU 内で処理される場合は対象となります。」とベスコビー氏は言います。

ミーガン・ゲイツはセキュリティ管理部門の上級編集者です。彼女に連絡するには、[email protected]。 Twitter で彼女をフォローしてください