2019/04/09

GDPRをコンプライアンス面で深掘りする

GDPR(EU一般データ保護規則)が2018年5月25日から施行されました。それに伴い、ネットや雑誌でもGDPRという言葉はよく目にします。しかし、イマイチわかりにくいと感じている方も多いのでは? ここではコンプライアンスの観点からGDPRを深くわかりやすく解説します。

1. GDPRとは

 

1-1. GDPRとはEUの一般データ保護規則(GDPR)

GDPRはGeneral Data Protection Regulationの略で、日本語では「一般データ保護規則」と訳されます。一言で言えば、EUにおける個人データやプライバシーの保護法です。

正式には下記のタイトルです。
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016
on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

重要なのは on 以下のところで、
・個人データの処理(取扱い)に関して個人を保護すること
・そうしたデータの移転に関すること
が大きなテーマになっている規則です。

1-2. なぜEUの規則に日本企業が敏感でなければならないのか

GDPRに関して起こりやすい根本的な誤解は
(1)EUの規則なのだから日本企業は関係ないのではないか?
(2)規則程度に敏感になることはないだろう?
という2点でしょう。

1-2-1. GDPRの適用範囲

まず、(1)について言うと、この規則は、EU域外からEU居住者にサービスを提供している企業にも適用されます。つまり、日本国内にある日本企業であってもEU居住者の個人データを扱っている限り、この規則の適用を受けるわけです。

例えば、日本企業の日本国内webサイトであっても、(特に英仏独語等の説明があって)商品購入等に際してEU居住者が氏名や電話番号等を入力するのであれば、つまり、EU居住者の個人データの取得・利用を行うのであれば、その企業は、GDPRが定める要件を満たしていなければいけません。

なお、厳密に言えば、GDPRは、EU加盟国に加え、アイスランド、ノルウェー、リヒテンシュタインを含むエリア(EEA:欧州経済領域)について適用されます。本稿では単純にEUと言います。

1-2-2. EUにおける規則(Regulation)の法的位置づけ

また、(2)について言うと、実は、EUでは、指令(Directive)と規則(Regulation)が一般的な法規制になります(個別的な規制には決定、勧告等もあります)。

指令(Directive)はEU各国がその基準に従って国内法を制定する義務を負う事項です。一方、規則(Regulation)はそれ自体が直接に国内法としての効果を持ちます。

つまり、日本の法体系での「規則」とは全く異なり、EU法と言って良いのが、EUの規則(Regulation)なのです。

1-2-3. 高額な制裁金

法規制に関しては、違反によるコストと遵守に要するコストを「天秤にかける」企業もあるかもしれません。

しかし、GDPRでは違反による制裁金は、最高で、
・年間売上げ(グループ企業を含む全世界でのturnover)の4%
または
・2千万ユーロ
の高い方の金額です。

2千万ユーロとしても日本円で26億円です。これまでEU域内でも個人データ保護に厳しかったドイツ国内法でも30万ユーロでしたから、文字通り桁違いに高額な制裁金です。

そうは言っても、実際にそこまで高額な制裁金を課すことはないのではないかという見方もあります。

しかし、EUでは競争法(独占禁止法)違反でも高額な制裁金を課してきました。EUは個人データに関しても米国等に厳しい視線を向けていますから、高額な制裁金が課される可能性はむしろ高いでしょう。

1-2-4. コンプライアンスの積極的意味

EUでは、今回のGDPRが施行されるまで、EUデータ保護指令95/46/ECが効力を持っていました。これは指令(Directive)であり、1-2-2で述べたように、この枠組内で各国が国内法を整備していたわけです。

GDPRの正式名称の最後に” repealing Directive 95/46/EC”とありますが、これは、GDPRをもって、EUデータ保護指令95/46/ECを廃止するという意味です。

つまり、GDPR以前は国ごとの法律だったEUにおける個人データ保護法制が一本化されるのです。

日本企業としても、国ごとの様々な違いに配慮する手間やコストが解消され、ビジネス上プラスと捉えることもできます。

2. GDPRで遵守すべき事項

 

2-1. GDPRの基本的な方向性

GDPRの基本的な方向性はITの進歩による脅威から個人データを守ることです。

逆に言えば、GDPRの背景には、グローバル企業やSNS等による個人データの取扱いへの強い危機感があります。GoogleやFacebook等のビジネスモデルでは、情報の検索、情報交換の場をタダで提供する代わりに利用者の個人データを何らかのかたちでお金に換えるという部分があります。

また、サイバーテロや企業内部の不正等によって個人データが漏えいする事案も後を絶ちません。

それに対し、個人データのコントロールを情報主体(個人)に帰属させるというのがGDPRの基本的な方向性です。

2-2. 個人の「明確な同意」

具体的には、個人データを取得・利用する場合、情報主体(個人)による「明確な同意」が必要になります。

条文上は” clear affirmative act”によってなされなければならないとされていますが、これは電子的な手段によるものでもよく、例えば、webサイト上のチェックボックスへのチェックでも構いません。もちろん、最初からチェックボックスにチェックがしてあったり、「異議がなければ同意したと見なす」というようなものは同意とは認められません。ただ、同意手続き自体は従来と比べ難しいものではありません。

なお、個人データは、住所や氏名、クレジットカード番号はもちろんですが、広範囲なものを含みます。例えば、写真やSNSへの書き込み、IPアドレス等も含みます。

一方、企業などの法人データや死者のデータは対象外です。

2-3. データ移転制限

現実的に厳しいのは「データ移転制限」でしょう。個人データをEU域外に移転することは原則として禁止されています。

個別のデータに関しては個人の「明確な同意」があれば域外への移転が可能ですが、企業レベルで考えた場合、
(1)移転先が十分な個人データ保護の保障がされている国であると欧州委員会が決定している国であるか、
(2)欧州委員会が決定したSCC(Standard Contractual Clauses:標準契約条項)が締結されているか
(3)BCR(Binding Corporate Rules:拘束的企業準則)が締結されている
必要があります。

(1)は具体的には、特定の国(米国、イスラエル等)ならOKというもの。(2)はデータ移転元と移転先の間で契約を結びその承認を受ける方法、(3)は企業グループ全体としてルールを策定し、データ移転元の管轄監督機関の承認を受ける方法です。

もちろん、EU域外にデータ移転ができるということは、EU居住者の個人データをEU域外で扱うことになります。従って、その域外拠点もGDPRが定める要件を満たさなければなりません。

日本企業がEU域内に拠点を設けてデータを収集・管理している場合、そのデータを日本の本社に移転するとしたら、日本の本社もGDPRが定める要件を満たさなければならないわけです。

2-4. 情報侵害時の通知義務

GDPRによる義務のひとつが情報侵害時の通知義務です。
個人データの侵害が生じた場合、そのことを通知しなければなりません。

通知先は2種類あり、72時間以内に監督当局に、そして遅滞なく情報主体への通知が義務づけられています。但し、情報が仮名(かめい)化されている場合等は情報主体への通知は不要です。

2-5. 外部委託との関係

現実に大きな問題となるのが外部委託との関係です。

例えば、日本のホテルが海外の予約サイトに予約受付の委託をしていたとします。この場合、ホテルがデータ管理者であり、予約サイトはデータの収集・加工・保管を行う外部委託先となります。

ここで、海外の予約サイトがハッキングを受けると、日本のホテルも情報侵害時の通知義務等を負います。また、そもそも、この場合、GDPRに従う体制を整えておかなければなりません。

もちろん、外部委託でなくとも、自社サイトでEU域内からの予約を受け付けていてもGDPRに従う体制は必要ですが、思わぬところで足をすくわれるという事態が起こりかねません。

2-6. データ保護影響評価(DPIA)

前述のように、GDPRの基本的な方向性はITの進歩による脅威から個人データを守ることです。

従って、新たな技術や大量のデータの処理等、データ処理にリスクが懸念される場合は、データ保護影響評価(DPIA)を行う必要があります。

2-7. データ保護責任者(DPO)の設置

コンプライアンス的にはデータ保護責任者(DPO)の設置も大きな意味があります。

これは社内体制として、データ保護に関する責任者を設置することを一定の場合に義務づけるものです。もちろん、この責任者が「お飾り」のものではいけません。データ保護に関する知識や専門性が要求されます。

また、現実に実効性のある機関とするためには、それなりの組織があって、ある程度独立性がある必要があります。

3. GDPRに対する対応

 

3-1. 企業はどのように対応しているか

GDPR違反のリスクを考えるとひとつの方策はEU域内からのアクセス遮断です。実際に米紙「ロサンゼルス・タイムズ」等は一時的にせよEU域内からのアクセス遮断を行いました。

もちろん、これはEUを市場から除外するということであり、極めて消極的な対応です。ただ、例えば、日本の零細企業がGDPRの遵守をするのは大変です。

ローカルな温泉旅館の場合、EU域内からの予約サイトには載せない、自社サイトも英語・日本語のみにする、EU域内からの予約を拒否する、という対応もあり得るでしょう。

もっとも、大手のECサイトはそうも言っていられません。また、やEU域内に拠点のある企業等も対応が必須です。顧客の個人データのみならず、従業員の個人データも個人データである以上、GDPR適用の対象になるからです。

EU域内の個人データを扱うのであれば、
•個人データのEU域外移転にはしかるべき手順を踏む
•処理対象の個人データを特定し、その処理過程を記録する
•個人データの処理および保管について適切な安全管理措置を講じる
•個人データの処理目的の達成に必要な期間を超えて個人データを保持し続けない
•必要とされる場合はデータ保護責任者(Data Protection Officer)を設置する
・個人データを処理するシステムの安全強化、外部委託先対策を行う
といった社内ルールの見直し・徹底や管理体制の強化が必要でしょう。

3-2. 事例1

2018年6月には早速、フランスのホテル予約サイト(「ファストブッキング」)がハッキングに遭い、日本のホテルを含む海外ホテルの宿泊者情報が漏えいしたことがわかりました。この中には、EU域内居住者の個人データが含まれています。

この場合、EU域内居住者の個人データの漏えい事件になるため、日本のホテルにも情報侵害時の通知義務が発生します。

現実に、日本のホテル事業者がGDPRに対応しているかは不明ですが、今後、このような事件は頻発するのではないかと考えられます。

3-3. 事例2

現在、米国はプライベート・シールド協定により、EUからの個人データ移転が可能な十分性認定国となっています。

EUデータ保護指令95/46/ECの時代も、米国とEU間では「セーフ・ハーバー協定」(この協定が締結されたのは2000年です)がありEUからの個人データ移転が可能でした。

しかし、その後、Facebook等のSNSの急速な発達やGoogle等によるプライバシー侵害の懸念が高まり、2015年には欧州連合司法裁判所がセーフ・ハーバー協定は無効とする判決(シュレムス判決)を下しました。

プライベート・シールド協定についても無効であるという主張がなされており、今後、無効認定がされた場合、米国を含むデータの移転にはトラブルが発生する可能性があります。

4. まとめ

GDPRは厳しい部分もありますが、個人データのコントロールを情報主体に取り戻すという理念はもっともなものです。日本でも個人データの保護強化は趨勢であり、それに対応するためにもGDPRについてきちんとした対応を考えていきたいものです。

 

【マネジメントの悩みに関する無料資料公開中】

仕事に対する価値観の多様化により、様々な考え方を持つ人をチームとしてまとめ、最高の結果を出すために、リーダーには高度なマネジメント能力が要求される時代です。

そんな中、現代のリーダーたちは日々、様々な課題に直面し、多くの悩みを持っているのではないでしょうか?

識学式リーダーシップ塾でも、多くのリーダから以下のようなお悩みを耳にします。
-部下とのコミュニケーションのとり方に悩んでいる
-部下をやる気にさせる方法に悩んでいる
-部下への指示の出し方に悩んでいる
-部下の評価の仕方に悩んでいる

もし、あなたもマネジメントに関して何か悩みをお持ちであれば、いくつかの公開資料をご用意させていただいていますので、お気軽にご覧ください!!

➤【無料資料】のダウンロード/一覧はこちらから

■今ある悩みを聞いてほしい!!そんな方は… マネジメントに関する様々な悩みを、マネジメントのプロにぶつけてみませんか?

➤【完全無料】マネジメントのお悩み相談はこちら