HOME>Legal Essays>欧州GDPRの概要と対応にあたっての注意点(2018年11月9日)

欧州GDPRの概要と対応にあたっての注意点(2018年11月9日)

欧州GDPRの概要と対応にあたっての注意点

 

弁護士 田中 敦(たなか あつし)

 

1 はじめに

本年5月25日から、EUにおけるGDPR(General Data Protection Regulation:一般データ保護規則)の適用が開始されました。

GDPRは、欧州経済領域(EEA)域内の新たな個人情報保護の枠組みを定めたものですが、EEA域内に所在する者の個人情報の移転を伴う取引を行っている事業者にも幅広く適用されるため、多くの日本企業がGDPRへの対応を求められます。

以下では、GDPRの概要をご紹介し、欧州に関連する取引を行うわが国の事業者に求められるGDPRへの対応の注意点について簡単に述べます。

 

2.GDPRの概要

(1) GDPRとは

EUでは、1995年に個人情報保護に関する法制度の共通化のためにデータ保護指令(96/46/EC指令)が採択されました。当該指令は、加盟国に対して直接には適用されず、加盟各国が自国の法令により個人情報保護の枠組みを定めていました。

その後、近年の急速な技術進歩や個人情報取扱いのグローバル化を受け、新たな態様での個人情報の取扱いに対応すべき必要性が生じるとともに、国家を超えたデータ保護法制のさらなる均一化が求められるようになり、国内法の制定を経ずとも加盟国を直接拘束する統一的な法規範として、2016年4月27日にGDPRが採択されました。

 

(2) GDPRの適用対象

GDPRで保護対象となる「個人データ」とは、EEA域内に所在する自然人(データ主体)を識別し得る情報をいい(4条)、データ主体は国籍や居住地を問いません。そのため、海外赴任や出張でEEA域内に所在する日本人従業員等の情報も、GDPRにより保護される個人データに含まれ得ます。また、日本からEEA域内へ個人データを送付した場合には、当該個人データについても、EEA域内においてGDPRに従って適切に処理されなければなりません。

仮に事業者がEEA域外に所在しているとしても、当該事業者がEEA域内のデータ主体に対して商品やサービスを提供する場合には、GDPRの適用を受けます(3条)。そのため、インターネット取引等で日本企業がEEA域内の顧客等に商品やサービスを提供する場合、たとえ当該企業がEEA域内に拠点等を有していなくても、GDPRが直接適用されることとなります。

また、わが国の個人情報保護法では「個人データ」に直ちには該当しない可能性のあるIPアドレスやCookieといったオンライン識別子が、GDPRでは保護対象の「個人データ」に挙げられていることにも注意が必要です。

 

(3) 個人データの処理・移転に関する義務とデータ主体の権利

GDPRの適用対象となる個人データについて、その処理等を行う事業者(管理者及び取扱者、以下「管理者等」といいます。)には、法令上、適切なセキュリティ措置の実施(32条以下)、データ保護責任者の選任(37条)等の様々な義務が課せられます。

また、GDPRでは、多くのデータ主体の権利が明記されており、わが国の個人情報保護法における本人の権利よりも広い範囲で、個人データにより識別される個人の権利が認められています。例えば、GRPRにおいては、わが国の個人情報保護法と異なり、自己の個人データの削除を求めることができる削除権(「忘れられる権利」、17条)、自己の個人データのコントロールを可能とするデータポータビリティ権(20条)等が明記されています。

 

(4) GDPRの違反者への制裁

GDPRの大きな特徴の一つが、違反者への厳しい制裁金が定められていることです。違反類型に応じて、違反企業に対しては、最大で2000万ユーロ又は前年度の全世界年間売上の4%を上限とする制裁金が課せられるおそれがあります(83条)。

欧州においては、過去に競争法違反により多くの日本企業に対し巨額の制裁金の支払いが命じられており、将来にはGDPR違反により日本企業に対し制裁金が課されることも十分想定されます。欧州でビジネスを行うわが国の企業としては、制度上、GDPRに違反した企業には数十億円を超える制裁金が課せられるおそれがあることに十分注意すべきでしょう。

 

3.GDPRへの対応の注意点

本稿では、GDPRにより求められる対応を網羅的に説明することは字数の制限上困難ですが、GDPR対応にあたっての基本的な方針を最初に述べ、その後、特に注意すべき点をいくつかご紹介します。

 

(1) GDPR対応への基本的な方針

まず、GDPRへの対応には、社内の現状を把握し、GDPRの要求事項と現状のギャップを分析することで、対応方針を策定することが重要となります。

社内の現状把握としては、各拠点や部署への質問票送付やインタビューなどにより、どの拠点又は部署が、どのような目的で、どのような流れでEEA域内のデータ主体の個人データを取り扱っているのかを正確に理解することが必要です(いわゆる「データマッピング」)。

その上で、GDPRの要求事項に照らし合わせ、対応すべき課題を洗い出すとともに、それら課題に優先順位をつけながら対応方針を策定しなければなりません。

 

(2) EEA域外の第三国への移転の原則禁止

まず一つ目の注意点として、GDPRでは、EEA域外への個人データの移転が原則として禁止されています。例外的に、欧州委員会が個人データの保護の「十分性」を認定した国については適法に移転できます。日本は、長らく「十分性」認定を受けるための取組みを続けてきましたが、平成30年7月、EUとの間で「十分性」の認定を受けることの最終合意に至ったことが報じられました。

もっとも、「十分性」の認定の手続が完了するまでの間は、EEA域内のデータ主体の個人データを日本国内へ移転するには、たとえ親子会社間であっても、下記のいずれかの要件を満たさなければなりません。各要件の詳細については割愛しますが、当該個人データの量、性質、移転の目的、利用の態様、移転事業者間の関係性等を個別具体的に考慮して、最もふさわしい手続を選定することが求められます。

 

①本人からの個別の同意の取得

②標準契約条項(Standard Contractual Clauses)の締結

③(グループ会社間での)拘束的企業準則(Binding Corporate Rules)の策定

 

(3) データ保護責任者の選任

個人データの管理者等の中心的業務が、大規模なデータ主体の定期的かつ系統的な監視を要する業務であったり、又は、機微情報(人種、思想、遺伝データ、生体データ、犯罪歴等)を大規模に取り扱う業務であるなどの一定の場合には、当該事業者には、高い独立性を有する「データ保護責任者」(Data Protection Officer)の選任が義務付けられます。データ保護責任者の任務には、他の従業員への助言や事業者の監視等が含まれます(39条)。

 

(4) データ保護影響評価

個人データの処理が個人の権利又は自由に対して高度のリスクをもたらす危険がある場合、当該個人データの管理者は、個人データの処理に先立ち、これにより個人データの保護にどのような影響を及ぼすかを評価しなければなりません(35条)。

 

(5) 侵害発覚時の通知義務

個人データの滅失、サイバー攻撃による漏えい等、個人データの侵害行為が発覚した場合、当該個人データの管理者は、侵害を認識してから72時間以内に監督機関へ通知しなければなりません(33条)。9月11日の日経新聞では、このGDPRの適用後初めての例として、ブリティッシュエアウェイズの顧客情報約38万件が盗まれたとして個人情報保護当局や警察に届け出たと報じています。情報の取得は8月21日から9月5日まで続いたとしており、当局が今後どのような措置をとっていくかが注目されます。

以 上

Legal Essays

一般企業法務

株主からの委任状と「反対の通知」について...
集合債権譲渡担保と動産売買の先取特権の優...
more

コンプライアンス、危機管理

外国公務員への贈賄等への取締り(2023...
憲法の人権規定の私人(特に企業)への直接...
more

M&A/企業再編・組織再編

M&Aにおける表明保証条項の法的意義(2...
会社分割に伴う労働契約の承継等に関する法...
more

資金調達等

資金調達手段としての信託の活用(2007...
more

知的財産権

美術館及び庭園の増改築につき同一性保持権...
住宅地図の著作物性を認めた裁判例 -東...
more

国内外の訴訟/紛争解決

国際契約の基礎知識(2024年3月22日...
国際取引判例解説 米国で一部弁済を受け...
more

独占禁止法、反トラスト法、下請法、景表法

昨今の広告手法と景品表示法の規制(202...
わが国における競争法によるフリーランスの...
more

事業再生/倒産

DIPファイナンスの必要性~コロナ禍の事...
民事再生手続におけるファイナンス・リース...
more

金融取引

シンジケートローンにおけるアレンジャーの...
more

渉外・国際取引

国際契約に関する紛争解決手段-訴訟?仲裁...
米国でも始まった個人情報保護~カリフォル...
more

労働法

名古屋自動車学校事件最高裁判決(2023...
雇用機会均等法9条4項の違反等が争われた...
more

時事問題

Namrun Quarterly 50号...
ロースクールでの授業が始まりました(20...
more

その他

忘れられる権利~最高裁判所第三小法廷平成...
遺言書と遺留分の話(2013年10月9日...
more