説明する杉本弁護士
経団連は7月26日、東京・大手町の経団連会館で情報通信委員会企画部会(武山芳夫部会長)を開催し、ウィルマーヘイル法律事務所シニアアソシエイト・弁護士の杉本武重氏(ブリュッセル在住)から「EU一般データ保護規則」が企業に与える影響について聞いた。説明の概要は次のとおり。
■ 目的はEU市民の基本的人権の保護
日本の憲法にあたるEU基本権憲章には「全ての者が自己に関する個人データの保護に対する権利を有する」と規定されている。現在はEUデータ保護指令に基づき各加盟国がデータ保護法をつくり、国や州単位で当局であるデータ保護機関(DPA=Data Protection Authority)を設置している。こうしたなか、加盟国ごとにルールが異なる現行制度では十分な人権保護が図られていないという問題意識から、今年4月、欧州議会においてEU一般データ保護規則(GDPR=GeneralData Protection Regulation)が採択された。
2018年5月にGDPRが適用されると、各加盟国のデータ保護法は廃止される。一方、各加盟国のDPAは維持され、各DPAが1つのEU法を執行することとなる。あわせて、データ保護法の解釈・適用に大きな影響力を持つ第29条作業部会は、欧州データ保護会議へと改組され、各DPAの判断が分かれたときに強制力をもって決定することができるようになる。
■ GDPRの基本概念とビジネスに与える影響
GDPRは、個人データを「処理」し欧州経済領域(EEA=European Economic Area)(注1)から第三国に「移転」することを原則禁止したうえで、例外的に認められるための条件を規定している。違反した場合は多額の制裁金が課されるおそれがある(全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方等)。
処理には、収集・保管・変更・開示・閲覧・削除など個人データに対して行われるほぼすべての行為が該当する。また、移転については、日本のモニターでEUサーバーにある個人データを閲覧するような行為も該当すると考えられる。
対象となる個人データの範囲は、国籍や居住地を問わずEU域内に所在する個人の個人データと考えられるが、執行リスクの観点からはEU市民・EU居住者のデータの取り扱いが特に重要となる。
GDPRはEU法の域外適用を認めている。例えば、EU居住者が日本のウェブサイトで販売している商品を購入するために入力した氏名・住所・決済情報等の個人データの取り扱いは処理に該当するため、GDPRが求める処理の諸要件を満たす必要がある。
また、サイバーアタックを受けて情報漏洩が発生したときの当局への報告や、本人から求められたときの個人データの訂正などについても、知らずに対応しなければ制裁金が課されるおそれがある。このため、従業員教育や有事の際、適時に担当部署に連絡する態勢の整備が重要となる。このほか、ワンストップ・ショップ制度、データ保護影響評価、データ保護責任者などの項目にも注意が必要である。
■ 日本が十分性認定を取得するメリット
仮に日本が欧州委員会から十分性認定(注2)を受けた場合、EEAからのデータ移転が自由化されるだけでなく、日本企業が当局から調査されるリスクを減らすことができるというメリットがある。これは当局にとって、日本企業を調査しても容易に制裁金を課すことができないという心理が働くためである。あわせて、標準契約条項(SCC)や拘束的企業準則(BCR)などの企業の自助努力にかかるコストも削減できる。
他国の事例では十分性認定の手続きには3年半から4年の期間を要している。日本の法制度をGDPRのレベルまで高める必要はないが、EU法および過去の欧州委員会の十分性認定の実例を踏まえ、差異を分析し、必要最小限の法改正を行うなど、十分性認定のための取り組みが期待される。
GDPRへの対応にあたっては、英国のEU離脱との関係も考慮する必要がある。企業は現時点から、自社の現状を把握し、GDPRが課す義務を遵守するための準備を開始すべきである。
(注1)欧州経済領域=EU加盟国28カ国とアイスランド、リヒテンシュタイン、ノルウェーが参加する経済領域
(注2)十分性認定=移転先の国・地域で個人データの十分な保護措置が確保されているかどうかを欧州委員会が審査し、認定すること
【産業技術本部】