-
(1)
最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。
- 個人データの仮名化又は暗号化;
- 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力;
- 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力;
- 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順。
- (2) 安全性の適切なレベルを評価する際、取扱いによって示されるリスク、特に、送信され、記録保存され、又は、それ以外の取扱いがなされる個人データの、偶発的又は違法な、破壊、喪失、改変、無権限の開示、又は、アクセスから生ずるリスクを特に考慮に入れる。
- (3) 第40条で定める行動規範又は第42条で定める承認された認証メカニズムに忠実であることは、本条第1項に定める要件の遵守を説明するための要素として用いることができる。
- (4) 管理者及び処理者は、管理者又は処理者の権限の下で行動し、個人データにアクセスする自然人が、管理者の指示に基づく場合を除き、EU法又は加盟国の国内法によってそのようにすることを求められない限り、その個人データを取扱わないことを確保するための手立てを講ずる。
一般データ保護規則(GDPR)条項
第32条