EUの一般データ保護規則(GDPR)が欧州議会において採択され、2018年5月に施行される見通しとなった。GDPRは個人データの処理と移転に関する法律であり、厳しい規制と罰則が特徴となっている。デロイト トーマツ リスクサービスが主催したセミナー「EUと日本における新しい個人情報保護制度」では、GDPRの内容や、Brexit(英国のEU離脱)による影響、実務レベルでの注意点などを、改正個人情報保護法とからめて講演があった。
施行まで2年を切ったEU一般データ保護規則(GDPR)
GDPRの基本
ウィルマーヘイル法律事務所ブリュッセルオフィスのシニアアソシエイトである杉本武重弁護士は、「EUの一般データ保護規則~EUの一般データ保護規則の成立状況、内容及びEUの最新動向~」という題で講演した。杉本氏は、GDPRについて、これまでEUは「EUデータ保護指令(95/46/EC)」を定めていたが、その実態は国によって大きく異なっていたため、これを統一するとともに保護法の範囲を拡張、個人の権利の強化や企業への説明責任の導入、制裁と執行の増大を目的にGDPRに移行するという。2018年5月25日より適用開始の予定だ。
ウィルマーヘイル法律事務所ブリュッセルオフィスのシニアアソシエイトである杉本武重弁護士
GDPRは、個人データを処理し、欧州経済領域(EEA:European Economic Area:EU加盟国28カ国+アイスランド、リヒテンシュタイン、ノルウェー)から第三国に移転するために満たすべき法的要件を規定している。ここでいう個人データとは、「識別された又は識別可能な自然人に関連する全ての情報」とされており、この範囲が意外に広く、自分の机にある内線電話の番号も個人データに含まれるという。なおGDPRでは「仮名化データ」という概念を取り入れている。追加情報がないと個人を特定できないものだが、匿名化データと異なり個人データとして扱われる。
また杉本氏は、GDPRの適用範囲の広さについて注意を促した。EUのデータ主体に対し商品またはサービスを提供し、またはEUのデータ主体の行動を監視する場合は、管理者または処理者がEU外で設立されたものである場合であってもGDPRが適用される。
例えば、日本本社のウェブサイトでEU所在者に対し商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は本社に対しGDPRの直接適用があり得るし、EUで取得した個人データを処理する場合、企業は当該個人データを適法に処理することを確実にすべきとしている。
GDPRでは、EEA外への個人データの移転を原則として禁止しており、移転先の国・地域に「十分性」が認められた場合、または適切な保護措置を取った場合などに例外的に適法となる。十分性が認められている国は少なく、現状では。日本企業は「SCC」あるいは「BCR」によって、データ移転規制を遵守することが望ましいとした。なお、セーフハーバー協定が無効となった米国は、新たに「米国プライバシーシールド」によって十分性を認められている。
日本は十分性を認められていないため、EEA域内からデータ移転を行ってしまった場合は罰則が科せられてしまう。実際にいくつか規制違反による法執行が行われており、1万ユーロ前後の制裁金の支払いを言い渡されている。GDPRの適用後は、「企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方」の制裁金が課せられる可能性もある。企業はまず、EEA域内で収集しているEUデータを特定し、個人データが含まれている場合は処理や保管場所などを確認することから始める必要があるとした。
