欧州GDPRの概要と対応にあたっての注意点(2018年11月9日)
欧州GDPRの概要と対応にあたっての注意点
弁護士 田中 敦(たなか あつし)
1 はじめに
本年5月25日から、EUにおけるGDPR(General Data Protection Regulation:一般データ保護規則)の適用が開始されました。
GDPRは、欧州経済領域(EEA)域内の新たな個人情報保護の枠組みを定めたものですが、EEA域内に所在する者の個人情報の移転を伴う取引を行っている事業者にも幅広く適用されるため、多くの日本企業がGDPRへの対応を求められます。
以下では、GDPRの概要をご紹介し、欧州に関連する取引を行うわが国の事業者に求められるGDPRへの対応の注意点について簡単に述べます。
2.GDPRの概要
(1) GDPRとは
EUでは、1995年に個人情報保護に関する法制度の共通化のためにデータ保護指令(96/46/EC指令)が採択されました。当該指令は、加盟国に対して直接には適用されず、加盟各国が自国の法令により個人情報保護の枠組みを定めていました。
その後、近年の急速な技術進歩や個人情報取扱いのグローバル化を受け、新たな態様での個人情報の取扱いに対応すべき必要性が生じるとともに、国家を超えたデータ保護法制のさらなる均一化が求められるようになり、国内法の制定を経ずとも加盟国を直接拘束する統一的な法規範として、2016年4月27日にGDPRが採択されました。
(2) GDPRの適用対象
GDPRで保護対象となる「個人データ」とは、EEA域内に所在する自然人(データ主体)を識別し得る情報をいい(4条)、データ主体は国籍や居住地を問いません。そのため、海外赴任や出張でEEA域内に所在する日本人従業員等の情報も、GDPRにより保護される個人データに含まれ得ます。また、日本からEEA域内へ個人データを送付した場合には、当該個人データについても、EEA域内においてGDPRに従って適切に処理されなければなりません。
仮に事業者がEEA域外に所在しているとしても、当該事業者がEEA域内のデータ主体に対して商品やサービスを提供する場合には、GDPRの適用を受けます(3条)。そのため、インターネット取引等で日本企業がEEA域内の顧客等に商品やサービスを提供する場合、たとえ当該企業がEEA域内に拠点等を有していなくても、GDPRが直接適用されることとなります。
また、わが国の個人情報保護法では「個人データ」に直ちには該当しない可能性のあるIPアドレスやCookieといったオンライン識別子が、GDPRでは保護対象の「個人データ」に挙げられていることにも注意が必要です。
(3) 個人データの処理・移転に関する義務とデータ主体の権利
GDPRの適用対象となる個人データについて、その処理等を行う事業者(管理者及び取扱者、以下「管理者等」といいます。)には、法令上、適切なセキュリティ措置の実施(32条以下)、データ保護責任者の選任(37条)等の様々な義務が課せられます。
また、GDPRでは、多くのデータ主体の権利が明記されており、わが国の個人情報保護法における本人の権利よりも広い範囲で、個人データにより識別される個人の権利が認められています。例えば、GRPRにおいては、わが国の個人情報保護法と異なり、自己の個人データの削除を求めることができる削除権(「忘れられる権利」、17条)、自己の個人データのコントロールを可能とするデータポータビリティ権(20条)等が明記されています。
(4) GDPRの違反者への制裁
GDPRの大きな特徴の一つが、違反者への厳しい制裁金が定められていることです。違反類型に応じて、違反企業に対しては、最大で2000万ユーロ又は前年度の全世界年間売上の4%を上限とする制裁金が課せられるおそれがあります(83条)。
欧州においては、過去に競争法違反により多くの日本企業に対し巨額の制裁金の支払いが命じられており、将来にはGDPR違反により日本企業に対し制裁金が課されることも十分想定されます。欧州でビジネスを行うわが国の企業としては、制度上、GDPRに違反した企業には数十億円を超える制裁金が課せられるおそれがあることに十分注意すべきでしょう。
3.GDPRへの対応の注意点
本稿では、GDPRにより求められる対応を網羅的に説明することは字数の制限上困難ですが、GDPR対応にあたっての基本的な方針を最初に述べ、その後、特に注意すべき点をいくつかご紹介します。
(1) GDPR対応への基本的な方針
まず、GDPRへの対応には、社内の現状を把握し、GDPRの要求事項と現状のギャップを分析することで、対応方針を策定することが重要となります。
社内の現状把握としては、各拠点や部署への質問票送付やインタビューなどにより、どの拠点又は部署が、どのような目的で、どのような流れでEEA域内のデータ主体の個人データを取り扱っているのかを正確に理解することが必要です(いわゆる「データマッピング」)。
その上で、GDPRの要求事項に照らし合わせ、対応すべき課題を洗い出すとともに、それら課題に優先順位をつけながら対応方針を策定しなければなりません。
(2) EEA域外の第三国への移転の原則禁止
まず一つ目の注意点として、GDPRでは、EEA域外への個人データの移転が原則として禁止されています。例外的に、欧州委員会が個人データの保護の「十分性」を認定した国については適法に移転できます。日本は、長らく「十分性」認定を受けるための取組みを続けてきましたが、平成30年7月、EUとの間で「十分性」の認定を受けることの最終合意に至ったことが報じられました。
もっとも、「十分性」の認定の手続が完了するまでの間は、EEA域内のデータ主体の個人データを日本国内へ移転するには、たとえ親子会社間であっても、下記のいずれかの要件を満たさなければなりません。各要件の詳細については割愛しますが、当該個人データの量、性質、移転の目的、利用の態様、移転事業者間の関係性等を個別具体的に考慮して、最もふさわしい手続を選定することが求められます。
①本人からの個別の同意の取得
②標準契約条項(Standard Contractual Clauses)の締結
③(グループ会社間での)拘束的企業準則(Binding Corporate Rules)の策定
(3) データ保護責任者の選任
個人データの管理者等の中心的業務が、大規模なデータ主体の定期的かつ系統的な監視を要する業務であったり、又は、機微情報(人種、思想、遺伝データ、生体データ、犯罪歴等)を大規模に取り扱う業務であるなどの一定の場合には、当該事業者には、高い独立性を有する「データ保護責任者」(Data Protection Officer)の選任が義務付けられます。データ保護責任者の任務には、他の従業員への助言や事業者の監視等が含まれます(39条)。
(4) データ保護影響評価
個人データの処理が個人の権利又は自由に対して高度のリスクをもたらす危険がある場合、当該個人データの管理者は、個人データの処理に先立ち、これにより個人データの保護にどのような影響を及ぼすかを評価しなければなりません(35条)。
(5) 侵害発覚時の通知義務
個人データの滅失、サイバー攻撃による漏えい等、個人データの侵害行為が発覚した場合、当該個人データの管理者は、侵害を認識してから72時間以内に監督機関へ通知しなければなりません(33条)。9月11日の日経新聞では、このGDPRの適用後初めての例として、ブリティッシュエアウェイズの顧客情報約38万件が盗まれたとして個人情報保護当局や警察に届け出たと報じています。情報の取得は8月21日から9月5日まで続いたとしており、当局が今後どのような措置をとっていくかが注目されます。
以 上