GDPR入門編

弁護士 鈴木 景猿渡 馨

 

■ はじめに


来たる2018年5月25日より、欧州の「一般データ保護規則」(General Data Protection Regulation:GDPR)の適用が開始されます。
本規則は、一定の場合、欧州に拠点のない日本の事業者に対しても適用されることとなります。
本記事では、GDPR入門編として、
・そもそもGDPRとはなにか?
・GDPRはどのようなことを定めているのか?
・GDPRが適用されるのはどういう場合か?
について、概要を解説していきます。

 

 

■ GDPRとは?


GDPRは、前記のとおり、EUにおける「一般データ保護規則」で、日本でいうところの個人情報保護法に相当するものであり、個人データの処理や、個人データを欧州経済領域(European Economic Area:EEA)から第三国に移転するために充足すべき要件を規定した法令です。

 

1995年、欧州では、EUを発足させるにあたり、EU加盟国の個人情報保護に関する取り扱いを共通化する目的で、EU「データ保護指令」という法令が制定されました。この法令は、EUにおける個人情報の取り扱いの原則となる事項を定めるものであり、直ちに各国に対する拘束力をもつものではなかったため、加盟国それぞれが、自国の個人情報保護法制にこの「EUデータ保護指令」の内容を反映させ、自国の個人情報保護法令を制定しました。EU発足から約20年、この間、EU加盟国国内市場の成長や、めまぐるしい技術革新により、個人情報が国境を超えてやりとりされることが急激に増加するようになりました。 このような時代の流れを受けて、改めて個人情報やプライバシーの保護についてルール作りをする必要が生じたため、今般、GDPRの制定に至りました。

 

GDPRは、前記「データ保護指令」とは異なり、各加盟国の法令制定がなくとも、適用開始日である2018年5月25日より、法的拘束力を生じることになります。
そのため、GDPRについては、その適用可能性含め、内容を把握しておいたほうが良いでしょう。

 

 

■ GDPRはどのようなことを定めているのか?


GDPRは、主にEEA域内で取得した「個人データ」の「処理」や「移転」を行う場合の義務や法律上の要件について定めています。以下、順番に見ていきましょう。

 

1.「個人データ」の「処理」や「移転」
(1)「個人データ」
個人データとは、EEA(European Economic Area:欧州経済領域。EU加盟国28ヶ国に、アイスランド、リヒテンシュタイン、ノルウェーの3国を含む31ヶ国)域内に所在する個人の、識別された、又は識別され得る自然人に関する全てのデータをいいます。
例えば、氏名、識別番号、所在地データ、メールアドレス、オンライン識別子(IPアドレス、Cookie識別子など)、身体的、生物学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因などが、これに該当するとされています。

 

ここで、注意が必要なのは、EEA域内に「所在する」個人に関する情報なので、居住地や、国籍は問われません。 したがって、例えば、EEA域外からEEA域内に出向した従業員の情報も、ここにいう「個人データ」に該当します。

 

また、オンライン識別子についても、個人データに該当し得ると考えられています。EEA域内に所在する個人のパソコンからオンライン識別子を取得することも、GDPRで規制される可能性がありますので、注意が必要です。

 

(2)「処理」とは
「処理」とは、自動的な手段であるか否かにかかわらず、個人データ、又は個人データの集合に対して行われる、あらゆる単一又は一連の作業をいう、とされています。
例えば、クレジットカード情報の保存、メールアドレスの収集、顧客の連絡先詳細の変更、顧客の氏名の開示、上司の従業員評価の閲覧、個人データの主体のオンライン識別子を削除する行為、全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成などが、これに該当するとされています。

 

このように、個人データに対して行う作業は広く「処理」に該当することとなります。

 

(3)「移転」とは
「移転」については、GDPR上で定義されているところではありませんが、EEA域外の第三国の第三者に対して、個人データを閲覧可能にするためのあらゆる行為がこれに該当すると考えられます。
例えば、個人データを含んだ電子メールを、EEA域外に送信する行為などはこれに該当するでしょう。

 

2.個人データの処理・移転に関する義務・法律上の要件
(1)個人データの処理
個人データを処理する場合、個人データの管理者は、概要、以下の規制を遵守する必要があります。

 

項目 概要
説明責任 管理者は、処理行為についてGDPRの要件を確実に遵守し、かつそれを実証できるようにしておく必要があります。
具体的には、説明責任を果たすため、データ保護責任者の選任、個人データ処理行為の内部記録の保持、個人データに対する技術的組織的な措置の実行などを行う必要があります。
個人データのセキュリティ 個人データについて、適切なセキュリティを実施する必要があります。
また、個人データの不法な破壊、喪失、改ざん、無断開示など、一定の事象が発生した場合、監督機関やデータ主体への通知などを行うことも必要です。
データ主体の権利の
尊重
情報権、アクセス権、訂正権、削除権、データポータビリティの権利など、データ主体が持つ権利を尊重し、その行使を円滑にする必要があります。

 

また、上記「データ主体の権利の尊重」に関連して、データ主体である個人に認められている権利について、概要をご紹介しましょう。管理者は、これらの権利に配慮して処理を行わなければなりません。

 

権利 内容
情報権 管理者は、データ主体から個人データを収集する場合、個人データを入手する際に、データ主体に一定の情報を提供しなければならない。
アクセス権 データ主体は、自分の個人データが処理されているかを確認することができ、処理されているとした場合、処理の目的や個人データの種類など一定の事項について、アクセスすることができる。
訂正権 データ主体は、自分の個人データに誤りがある場合に、その誤りの遅滞ない訂正を管理者に求めることができる。
削除権 データ主体は、一定の場合に、自分に関する個人データの遅滞ない削除を管理者に求めることができる。
制限権 データ主体は、管理者に対して、一定の場合に個人データの処理を制限することができる。
データポータビリティの権利 データ主体は、自分に関わる個人データを、構造化され、一般的に使用され、機械によって読み取り可能な形式で受け取る権利を有する。
異議権 データ主体は、一定の場合に、自分の個人データの処理について、異議を申し立てる権利を有する。
自動的にされた個人の判断に関する権利 データ主体は、自分に対して法的影響を生じ得るような、自動的処理のみに基づく判断の対象にならない権利を有する。

 

さらに、管理者は、データの処理を行うに際して、以下の原則を全て遵守するべき義務を負っており、かつ、遵守を証明できなければならないとされています。

 

原則 内容
適法性、公平性、及び透明性 個人データは、適法、公平かつ透明性のある手段で処理されなければならない。
目的の限定 セーフガードに該当する一定の場合を除き、個人データは、識別された、明確かつ適法な目的のために収集されるものでなければならない。
個人データの
最小化
個人データは、処理を行う目的に照らして、関連性があり、かつ、必要最小限に限られていなければならない。
正確性 個人データは、正確であり、必要に応じて最新に保たれなければならない。
保管の制限 個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。
完全性及び
機密性
個人データは、当該個人データを適切なセキュリティを確保する方法で取り扱われなければならない。

 

このように、個人データを処理するにあたっては、データ主体の権利を保護するために、種々の義務を遵守する必要があります。

 

(2)個人データの移転
EEAの域外に、個人データを移転することは、原則として違法とされています。
ただし、例外的に、
①移転先の国や地域について、法整備などに基づいて十分に個人データ保護を講じている(十分性)と認められる場合や、
②適切な保護措置(SSC:標準契約条項、BCR:拘束的企業準則)を講じた場合 には、例外的に適法となるとされています。
日本の場合、本記事執筆時点において、①の要件は認められないとされているため、②の要件を満たすように、SSCやBCRによって、データ移転規制を遵守することが必要と考えられます。

 

(3)EU代理人の設置義務
EU域内に拠点を持たない企業は、GDPRを遵守するための代理人を、データ主体が居住する加盟国のひとつに設置することが必要となる場合があります。

 

3.制裁金
GDPRに違反した場合、義務違反の類型により、以下の2通りの制裁金の上限額が設定されています。
①1000万ユーロ、又は、企業の場合には、前会計年度の全世界年間売上高の2%の、いずれか高い方
②2000万ユーロ、又は、企業の場合には、前会計年度の全世界年間売上高の4%の、いずれか高い方

 

本記事執筆時点で、1ユーロ約130円ですので、1000万ユーロ=13億円、2000万ユーロ=26億円です。
このような巨額の制裁金が課せられる可能性があるため、個人データの処理又は移転にあたっては、慎重に対応する必要があります。 とりわけ、個人データのEEA域外への移転に関する規制に違反した場合、制裁金の上限額として②が適用されるため、リスクは極めて大きいといえるでしょう。

 

 

■ GDPRが適用されるのはどういう場合か?

 

以上のように、GDPRでは、個人データの処理及び移転について、厳格な義務が定められているうえ、義務違反の場合には巨額の制裁金が課せられる可能性があります。 では、日本企業に対しGDPRが適用される場面とは、どのような場合でしょうか?

 

1.GDPRの適用範囲

GDPRは、個人データの管理者や処理者がEEA域外にある場合であっても、以下のいずれかの場合には、適用されることになります。

①EEAのデータ主体に対して、商品又はサービスを提供する場合
②EEAのデータ主体の行動を監視する場合

 

特に注意が必要なのは、①です。
昨今の技術革新によって、国境を超えてサービスを提供することが容易になりました。 例えばECサイトやアプリサービスにおける通信販売などは、その典型例といえるでしょう。日本から、EEA域内に対して、英語等の日本語以外の言語を使用して商品を販売するような場合には、①に該当するか否か、特に慎重に検討しなければなりません。

 

さらに、①にいう「商品又はサービスの提供」は、有償無償を問わないことが明記されています。したがって、仮に、オンラインでEEA域内に「所在する」人に、無償でサービスを提供する場合でも、GDPRが適用される可能性がある点には注意が必要です。

 

2.上記①の具体的な適用範囲

では、具体的に、どのような場合に「EEAのデータ主体に対して、商品又はサービスを提供する場合」に該当するのでしょうか?
例えば、メインターゲットはEEA域外であっても、そのサービスをEEA域内に所在する人が利用できるというだけで、GDPRが適用されてしまうのでしょうか?

 

この点について、GDPRでは「1つ以上のEU加盟国に所在するデータ主体に対し、サービス提供をする意思があることが明白である場合」には、GDPRが適用されるとされています。そして、上記「意思の明白性」の主な判断要素として、当該サービスや商品について、EEA域内の国で一般的に使用される言語や通貨を用いることができるか、サービス利用に関してEEA域内に所在するカスタマーやユーザーによる利用について言及があるか、といった要素が挙げられています。

 

このような基準や判断要素からすると、例えば、フランスに所在する人のためのECサイトであることをサイトやアプリ上に明示して、ユーロでの決済が可能なシステムを使用し、フランス語でサービスや商品を紹介しているようなサイトやアプリであれば、「EEAのデータ主体に対して、商品又はサービスを提供する場合」に該当するだろうと考えられます。

 

逆に、日本語のみの表記しかなく、日本円以外での決済システムがないサービスで、EEA域内の国へのサービスの提供についての言及がなければ、「EEAのデータ主体に対して、商品又はサービスを提供する場合」に該当せず、GDPRの適用可能性は、限りなく低いものと言えるでしょう。

 

問題は英語を使用している場合です。
英語は、EEA域内の国でも広く用いられている一方で、アメリカをはじめとするEEA域外の国でも広く用いられています。そのため、英語が用いられていることにより一義的にGDPRの適用の有無が決定されるものではないと考えられ、そのサービス内容や、決済の際の通貨など、総合的に判断して、GDPRの適用の有無が決定されるものと思料されます。

 

以上を踏まえると、GDPRや、個人情報保護体制を意識するあまり、EEA域内に所属する人をターゲットにしていないにもかかわらず、EEA域内からアクセスできるというだけで、EEA域内向けのプライバシーポリシーを公開してしまうようなことは、かえってGDPRの適用される要素を増やしてしまう結果になってしまいますので、注意が必要です。

 

 

■ おわりに

 

このように、GDPRは、一定の場合には欧州に拠点のない日本企業にも適用されます。そして適用された場合、様々な義務が課せられることとなります。 2018年5月の施行に向け、まずは、自社のサービスについて、GDPRの適用可能性を検討されるところからスタートしていただくのが良いでしょう。
その際の一助になれば、幸いです。

 

 

上場企業法務のサービス詳細はこちら

スタートアップ・ベンチャー (シード・ミドルステージ)のサービス詳細はこちら