執筆:弁護士 阿久津 透( AI・データ(個人情報等)チーム )
1 GDPR(EU一般データ保護規則)とは?
GDPR(General Data Protection Regulation)とは、EUレベルでの個人データ保護法であり、日本でいうところの個人情報保護法に該当するものです。
GDPRでは、個人データの処理や、個人データをEEA(European Economic Area、欧州経済領域)域内から第三国に移転する際の要件などが定められています。
事業者の方は、①自社にGDPRが適用されるのか、②自社の活動がGDPRの処理、移転の要件を満たすか(満たさない場合にはどのような対応をすれば良いか)を検討することになります。
GDPRの条文については個人情報保護員会が「EU(外国制度)」のページの中で仮訳を公表しており、本稿で引用する条文はその仮訳を参考にしたものです
2 GDPRで保護対象となる「個人データ」に関して
(1)個人データ(Personal Data)の定義
GDPRにおいて、「個人データ」とは、個人データとは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味します。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいうとされています(4条1号)。
例えば、「特定の家の価値」という情報は、物に関する情報であるため、それが特定の地区の不動産価格の水準を説明するためにのみ用いられるのであれば個人データには当たりません。一方で、ある個人の資産に関する情報として用いられるのであれば、それはある自然人に関する情報として個人データに当たると考えられます。
(参照:ARTICLE 29 DATA PROTECTION WORKING PARTY 「 Opinion 4/2007 on the concept of personal data 」9頁以下)、
このよう個人データはかなり広範な概念ですので、実務上の対応としては、個人に関連する情報であれば個人データとして取り扱う方が良いといえます。
(2)誰の個人データが保護されるのか
前文の第14項では、「本規則によって与えられる保護は、その国籍及び居住地がいかなるものであれ、自然人の個人データの取扱いとの関係において、自然人に対して適用される。」という記載があり、国籍や居住地に限定はありません。
先ほどの個人データの定義に出てくる「データ主体」には、国籍や居住地の限定はされていません。
そのため、例えば出張や旅行で一時的にEEA域内に滞在しているEEA域外居住者もこの保護の対象となり得ます。
事業者は、「誰の」という観点から整理するのではなく、次のどのような場合に適用されるのかといった、地理的適用範囲から整理していくと対応すべき場面が明確になってきます。
3 GDPRの地理的適用範囲(Territorial scope)とは?
GDPRでは、GDPRが適用される場面をEEA域内に拠点がある場合とない場合の2つの場面に分けて規定しています。
(1)拠点がある場合
まず、GDPR第3条第1項は「本規則は、その処理がEU 域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの処理に適用される。」と規定しています。
典型的には、EEA域内に子会社や支店が存在する場合がこれに該当します。
この第3条1項の適用について注意が必要なのは、例えば、EEA域内に存在する管理者から、日本の企業が処理者としてデータ処理の委託を受ける場合です。この場合、処理者である日本の企業は、EEA域内に活動の拠点がないのでGDPRの直接適用はありません。処理者は、第28条のデータ処理契約にしたがって、GDPRの適用を受ける管理者によって課される義務を間接的に負うということになります。
(参照:The European Data Protection Board
「 Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version 2.1 」Example 6)
(2)拠点がない場合
EU域内に拠点がない場合にGDPRが適用されるのは以下の2つの場合です。
①EU域内のデータ主体に対して物品又はサービスを提供する場合
②EU域内で行われるデータ主体の行動の監視
①については、EU域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかという観点から判断されます。
単にWeb サイトにアクセスできることや、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図があったとまではいえません。これに加えて、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができることや、EU域内にいる消費者又は利用者に関する言及があることといったような要素がある場合には、EU域内のデータ主体に対して物品又はサービスを提供する意図が明白といえるとされています(前文23項)。
4 GDPRに違反した場合の罰則について
GDPR違反に対する制裁は、日本の個人情報保護法と比べて非常に重いものとなっており、違反の類型によって以下の2つのパターンがあります。
①1000万ユーロ以下又は全会計年度の全世界年間売上高の2%のいずれか高い方
②2000万ユーロ以下又は全会計年度の全世界年間売上高の4%のいずれか高い方
①は以下の違反行為の場合に適用されます。
・第8 条、第11 条、第25 条から第39 条並びに第42 条及び第43 条による管理者及び処理者の義務に違反した場合
②は以下の違反行為の場合に適用されます。
・ 同意の条件を含め、第5条、第6条、第7条及び第9条による取扱いの基本原則に違反した場合
・第12条から第22条に定めるデータ主体の権利に関する規制に違反した場合
・ 第44条から第49条に定める第三国内又は国際機関内の取得者に対する個人データの移転に関する規制に違反した場合
・ 第9章(特定の処理状況に関する条項)に基づいて採択された加盟国の国内法による義務に違反する場合
・第58条第2項による監督機関からの命令、取扱いの一時的な制限若しくは恒久的な制限又はデータ移 転の停止の不服従、又は、第58条第1 項に違反するアクセスの不提供
5 日本企業のGDPR違反事例
2018年5月25日の施行開始以降、EEA域内では数多くの制裁金事例が登場しています。
昨年は、日本企業のスペイン子会社が、取引先の顧客情報の漏えいについて過失があったとして、6万4000ユーロ(約940万円)の制裁金が科されました。
(参照:https://www.nikkei.com/article/DGKKZO65903560R11C22A1EA2000/ )
日本企業の関連企業への処分の公表はこのケースが初めてとみられています。
6 GDPRに対して日本企業が取るべき対策
GDPR対応は大きく以下の4つのステップに分けて進めていきます。
①適用の有無の判定
②GDPRが求める対応事項の把握
③差分の整理
④優先順位の設定
①に関しては大前提ですが、この段階で「管理者」なのか「処理者」なのかといった整理や、自社が取り扱うデータの内容の整理まで出来ると次のステップが進めやすくなります。
②と③は実質セットのようなもので、抜け漏れのないGDPR対応をするために必要な、自社の現状とGDPRの対応事項の差分を正確に把握するためのステップです。
この段階で、そもそも日本の個人情報保護法のですら対応が間に合っていないケースや、正確に理解できていなかったというケースも出てきますので、その場合にはまず日本の個人情報保護法の対応を行ってからGDPR対応も行っていくことになります。
GDPRの適用がある以上、対応しなければいけないことは言うまでもありません。
ただ、すべてに対応しようとすると、その対応コスト(社内のリソース、外部専門家への費用)は相当なものになります。準備のしやすいところから着手する、スケジュールを設定して順次進めていくという判断が必要になってきます。そのため手順が④となります。
ここまで順番に整理した後は、設定した優先順位に従ってGDPRの対応事項を進めていくことになります。
上記がGDPRの概要となります。
GDPRへの対策に関して個別に相談したい場合は、初回法律相談(30分無料)をご活用ください。
7.セミナー情報(※セミナーは終了いたしました)
GVA法律事務所では、全5回に分けてGDPRに関するランチタイムセミナーを開催します。
一からGDPRについて整理したい方向けにできるだけシンプルかつ簡単に解説をしていきますので、気になるテーマがある方は是非ご参加ください。
第1回:GDPR入門(7月5日 12:15~12:45)
GDPRと個人情報保護法の違い、「処理」と「移転」・「管理者」と「処理者」などの用語の整理、ペナルティ
第2回:うちって適用されますか?(7月10日 12:15~12:45)
GDPRの適用範囲、地理的適用範囲の整理
第3回:「処理」って何ですか?(7月18日 12:15~12:45)
GDPRにおける処理とは、処理の法的根拠の整理
第4回:代理人、DPOは必要ですか?(7月24日 12:15~12:45)
代理人・DPOとは何か、どのような場合に必要か、それぞれの違い
第5回:GDPRの対応の手順(7月31日 12:15~12:45)
これからGDPR対応を始める企業が押さえておきたいポイントや手順
