写真を拡大 欧州委員会が製作・公開するEU域内企業向けの「GDPR」ガイドページ(出典:https://ec.europa.eu/justice/smedataprotect/index_en.htm)
欧州連合(EU)で5月25日に施行された個人データ保護の法律「GDPR:General Data Protection Regulation(EU一般データ保護規則)」。日本企業でも、EU域内の個人データを扱っていれば、そのデータの取扱いについて新たなルールの適用が求められ、違反すれば課徴金が科される可能性もある。日本の個人情報保護法の所管・執行を担う「個人情報保護委員会」では、国内事業者による個人情報の適切な取扱いに対する支援活動の一環として、GDPRに関する情報提供を行っている。同委員会事務局企画官の 石井純一氏に動向を聞いた。
条文和訳を作成・公開中
EU加盟28カ国とアイスランド、リヒテンシュタイン、ノルウェー3カ国をあわせた欧州経済領域(以下、EEA)において、新たな個人データ規制、GDPRが今年5月25日に施行された。1995年に制定された従来の「EUデータ保護指令」に代わり、技術進歩によりインターネットが経済活動のインフラになる中で、改めてデータ処理・移転について規制を強化している。違反行為に対しては最大2000万ユーロ(約24億円)の高額な制裁金を科すことが定められている。
2016年以降から日本国内でも「GDPR」関連書籍が発刊されたり、セミナーなども多数開催されたりするなど、関心が高まっている。「セミナーや書籍を活用して法規制の概要をつかむことも重要だが、ぜひ原典の前文・条文とガイドラインなどに目を通して、自社の個人情報の取扱いにどんな対応変更が必要かを自分の頭で考えて頂きたい」と話すのは、個人情報保護委員会事務局・企画官の石井純一氏。同委員会では日本国内の個人情報保護を統括する国の機関として、日本国内の企業に向けてGDPRに関する情報を提供している。
個人情報保護委員会では、できるかぎり一次情報やそれに類する情報にアクセスできる環境を整えるため、GDPRの前文・条文やそのガイドラインの仮日本語訳を作成し、公式サイト(https://www.ppc.go.jp)に公開している。このサイトには、EEA域内の個人データ保護機関が配信するGDPR関連情報のリンクも設定されている。
GDPRのガイドラインについては、2018年6月18日時点で、ドラフト公表にまで至っている全11項目のうち「データポータビリティ」「データ保護オフィサー」「主監督機関」「データ保護影響評価」「制裁金」の5項目について仮日本語訳の作成が完了し、個人情報保護委員会のウェブサイトで公開している。さらに残りの項目についても、完成次第公式サイトで公開する予定という。
####
規制適用受ける日本企業は
日本ではどのような企業がGDPRの適用を受けるのか。大きく2つのパターンがある。最も典型的なパターンは「EEA域内に子会社や支店などの拠点がある」企業。すでに現行のデータ保護法の適用を受けており、5月25日の施行以降は、EEA域内の拠点においては旧来のデータ保護法とGDPRとの差分を把握して、その延長で対応すればよい。同時に日本国内の本社拠点でも、EEA域内の拠点から日本国内の拠点への個人データの移転において新たな体制づくりが必要だ。
もう一つのパターンは「EEA域内にいる個人に対してインターネットなどを通じて商品やサービスを提供している企業」。この場合、EEA域内に拠点がなくとも、一定の要件を満たす個人データの取扱いにGDPRが適用される。これまで旧来のデータ保護法とは無関係だった企業でも、今回のGDPR施行によって初めてEUの個人データ保護法が適用される企業が出てくることがあり得る。規模の大小や営利・非営利を問わず適用されるので、インターネット等を通じてEEA域内の個人データを取り扱う企業は、GDPRの適用の有無に注意を払う必要がある。
もっともインターネット通販のあらゆるサイトが直ちにGDPRの適用を受けるわけではない。「GDPRでは、言語・通貨・顧客への言及といった要素を考慮して、『EEAに対する商品やサービスの提供の意図が明白』と言える場合に域外適用があるとされており、自社の事業の態様が要件を満たすかどうかを見極めることが肝要だ」と石井氏は冷静に検討・判断すべきと促す。
####
現地データ保護機関に相談する
GDPRの概要を把握できたら、自社内で取り扱うデータのうちどの範囲で適用の可能性があるかを個別に検証する必要がある。取り扱う個人データには、顧客情報だけでなく、取引先担当者、従業員、採用候補者のデータまで含まれる。日本国内のみで事業活動する企業であっても、例えば展示会に行けば海外企業の出展ブースも多く、EU域内の担当者と名刺交換をすることもあるだろう。厳密にはEEA域内の個人データを全く持たない企業の方が少ないとも言える。適用の有無をはじめとして、わからないことがあれば、専門家に相談することになる。
石井氏が勧めるのは「EEA域内の現地のデータ保護機関から直接情報収集すること」。「例えば日本の個人情報保護法に関してわからないことがあれば、当委員会の個人情報保護法相談ダイヤルに問い合わせる。それと同じように、日本企業も、GDPRに関しては、その解釈適用を担うEEA各国のデータ保護機関に直接問い合わせるのが確実で一番の近道」(同)という。EU域内に拠点を有する企業であれば、当該拠点のある国のデータ保護機関に問い合わせ、EU域内に拠点を有しない企業であれば、商品・サービス提供のターゲットとする国のデータ保護機関に問い合わせることも、有効な手段といえる。
個人情報保護委員会のGDPR関連情報ページ(https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/)。サイトではEEA域内の各個人データ保護機関が配信するGDPR関連情報へのリンクも張られている
####
日EU間の越境移転規制は緩和へ
個人データの越境移転について、現在、日本とEUの間で規制緩和が模索されている。
現時点のGDPRでは、個人データをEEA域内から域外に越境移転することを原則禁止している。越境移転する場合の条件として主に以下の4つを挙げている。①移転先の国が十分な水準の個人データの保護を確保していると欧州委員会によって認められていること、②「標準契約条項(SCC:Standard Contractual Clauses)」による契約を締結すること、③事業者グループにおける内部規範である「拘束的企業準則(BCR:Binding Corporate Rules)」を採用すること、あるいは④本人の明示的な同意を得ることー。日本は①のいわゆる「十分性認定」の条件を満たす国とは認められておらず、現状では②SCCの締結や③BCRの採用の手続きが必須となっている。
日本の個人情報保護法も、昨年5月30日に全面施行された改正法で同様にEUを含めた越境移転を規制するフレームワークをもっている。今回のGDPR施行を契機として、EUと日本との間でお互いに個人データを円滑に越境移転できる枠組みの構築に向けて、個人情報保護委員会と欧州委員会との間で協議が続けられており、5月31日には委員レベルの会談において重要な進展がみられた。
この枠組みが構築されれば、EEA域内から日本へ個人データを移転する際、SCCの締結やBCRの採用が不要となる。ただし「越境移転の規制はGDPRの規制の一部に過ぎず、この枠組みの構築によってGDPRの規制から一切免れるという誤解をしないでほしい」(石井氏)とする。
個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談(5月31日、東京都内/画像提供:個人情報保護委員会)
ビジネスのグローバル化と同時に、クラウド・AI・IoTなどの普及でさまざまな個人データが容易に国境を越えてしまう時代。日本企業であっても規制の適用を受ける企業が少なくないと考えられる。石井氏は「今後も当委員会では各国のデータ保護機関との意見交換・情報交換等を進めていく。これらを通じて、日本国内の企業がGDPRとの関係を見極めていただくのに有用な情報があれば、積極的に提供することで、支援していきたい」と話している。
個人情報保護委員会事務局・企画官 石井純一氏
■個人情報保護委員会によるGDPR関連ページ(GDPRガイドラインの仮日本語訳/EU域内のデータ保護機関へのリンクあり)
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/
■日本貿易振興機構(JETRO:ジェトロ)が日本企業向けに対応策をまとめた「GDPR実務ガイドブック」
https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html(入門編)
https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html(実践編)
(了)
