プライバシー保護の枠組みとして、これまでEU加盟国に適用されてきた「データ保護指令」に替わり、新たに「一般データ保護規則(General Data Protection Regulation:GDPR)」が採択されました。適用が開始される2018年5月には、企業に対して今まで以上の義務が求められており、現地の従業員や顧客などの個人データを取り扱う企業においてはその内容を理解し対応を進めておくことが重要になっています。今回から数回にわたりGDPRで求められている要件や対応のためのアプローチを概説します。
データ保護指令からGDPRへ
個人データの保護に関して、これまでEUでは「個人データ取扱いに係る個人の保護および当該データの自由な移動に関する1995年10月24日の欧州議会および理事会の95/46/EC指令」(EU Data Protection Directive: データ保護指令)が適用されてきました。データ保護指令では、個人データの保護の水準が十分であると認められていない域外の国に個人データを移転することについて制約が設けられるなど、当時から比較的厳しいルールが規定されていました。
採択から約20年が経過し、このデータ保護指令は見直しの必要性がたびたび指摘され、「2016年4月27日のEU議会およびEU理事会による規則 2016/679」、いわゆる一般データ保護規則(GDPR)が新たに採択されました。今回の見直しでは、従来データ保護指令においても厳しいとされてきたルールに、さらなる制約やそれらを徹底するための枠組みが設けられています。
こうした見直しの背景には、データ保護指令にかかわる制度面の課題、急速なITの進展とビジネスのグローバル化に伴う個人データの取り扱いについての課題があったと考えられます。
図表1. 改正の背景にあると考えられる課題 ※1 EU法において、「指令」(Directive)はEU共通の枠組みは定めるものの、実際に適用するルールについては指令にもとづいて各加盟国が別途国内法を整備・運用する、としている。一方、「規則」(Regulation)は各加盟国において国内法と同じように直接的に適用されることになっており、規則化されることでより統一的なルールが作られることになる
上記の背景を踏まえ、データ保護指令と比べGDPRでは次の点が特に見直されています。この中でも罰則の強化については、後述のように多額の制裁金を科す内容となっており、とりわけ注意を要する事項になっています。
- 域外適用
- 未成年の個人データに関する同意
- 処理の記録
- 削除権(個人データのさらなる拡散を停止させる権利を含む)
- データポータビリティ
- 侵害時の通知
- 域外移転の制約(移転の方法の追加)
- データ保護責任者の設置
- 主たる監督機関
- 罰則の強化 など
GDPRは、前述の正式名称にあるように2016年4月27日に採択済みで、約2年の期間を経て、2018年5月25日に適用が開始される予定です。また、条文以外に、ガイドラインなど実務的な対応に必要な文書がEU側から提示されることになっています。なお、2018年5月24日までは、現行のデータ保護指令が引き続き適用されることになっています。
