今回から4回に渡り、2018年5月にEUで施行される個人データに関する保護制度、EU一般データ保護規則(GDPR)について、株式会社GRCSのCOOである榎本司氏に解説頂きます。

EU圏内において個人情報を扱う企業はすべて対象となり、違反が認められる場合は高額な制裁金が課せられるなど、EU圏内でビジネスを展開する日本企業にも大きく影響する制度です。

第1回GDPR(EU一般データ保護規則)とは(1)

GDPR対応状況について

ヨーロッパ関連のビジネスについて施行がせまるGDPRの適用について社内で十分な検討をされていますか?

1 GDPRの目的・日本企業への影響

EUによる個人データの処理と移転に関する法律

  • 「欧州経済領域(EEA*)内の各人が自身で自身の個人データをコントロールする権利を保障する」という基本的人権の保護(データ侵害回避と人権尊重)を目的とする法律
    *EEA=EU加盟国+アイスランド、リヒテンシュタイン、ノルウェー
  • 従来のEU加盟国各国ごとのデータ保護法を取りやめ、統一されたEU法として2018年5月25日から適用開始
  • 義務違反に対しては、高い制裁金が課せられる

*EEA内に拠点を持たない企業に対しても域外適用される可能性がある(個人データの移転)

2 保護される個人データ(Personal Data)

個人データ 個人識別につながる自然人(データ主体/Data Subject)に関するあらゆる情報 第4条
保護対象個人データ EEA内に所在する個人(国籍や居住地などを問わない)のデータ 第2条、第3条、第44条~第50条

以下も対象となるので要注意

  • 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
  • EEA内に出向した従業員の情報(元は日本からEEA内に移転した情報)
  • 日本からEEA内に個人データを送付する場合(基準に沿ってEEA内において処理されなければならない)
  • 日本からEEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

3 GDPRの適用範囲

1. 管理者(処理者)

  • EEA内に拠点を有する管理者がEEA内で行う処理に対して適用される管理者がEEA内に拠点を有しない場合であっても、以下の場合には適用される(域外適用) 第2条、第3条
  • EEAのデータ主体に対し商品又はサービスを提供していると想定される場合
    →GDPRが直接適用される可能性大
  • EEA内で、一般的に使われる言語・通貨の使用
  • その言語で商品またはサービスが注文できる
  • EU域内に所在する顧客やユーザーについての言及
  • EEAのデータ主体の行動を監視する場合

2. 個人データの処理

「移転以外の個人データに係る何らかの処理*」というような幅広いイメージ

*自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業、または一連の作業 第4条2項

個人データの処理(例)
  • クレジットカード情報の保存
  • Eメールアドレスの収集
  • 顧客の連絡先詳細の変更
  • 顧客の名前の開示
  • 上長の従業員業務評価の閲覧
  • データ主体のオンライン上の識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

管理者は、個人データの処理に関係する諸原則を遵守し、かつ遵守を実証しなければならない 第5条2項

3-1. 個人データの移転

移転とは、「EEA内の個人データをEEA外になんらかの形式で移動する」といった広い解釈のもの(定義なし)

  • 手段を問わず、EEA内の個人データを海外からアクセスできるようにすれば*、物理的な移転を伴わずとも「移転」に該当する
    例:メールによるEEA内データ送信の場合でサーバーが日本にある場合

EEA外への個人データの移転は原則として違法

移転先の国・地域が十分に個人データ保護を講じている場合、または適切な保護措置を取った場合等に例外的に適法 第44条1項

  • 現時点で日本は十分に個人データ保護を実施している国とは認められていない
  • 日本企業は、適切な保護措置(以下のいずれか)手当が必要 第46条2項
    • 移転元と移転先との間で標準契約条項(Standard Contractual Clauses:SCC)の締結
    • 拘束的企業準則(Binding Corporate Rules : BCR)の承認などが必要(BCR承認ハードルは高く、SCC締結で対応する企業が多いものと思われる)

3-2. 適切な保護措置がない場合の移転

下記要件のいずれかを満たせば特例として移転可能 第49条1項による特定の状況での従属的特例

  1. 処理を適法化する同意に加え、「適切な保護措置があると認定されていない国への個人情報移転の通知とその移転に対する明確な同意」がある場合
    • 同意が証明できるようにしておく必要 第7条1項
    • 同意の要求を案件別に明示する必要 第7条2項
    • 同意はいつでも撤回でき、同意の撤回は撤回前の同意に基づく処理の適法性に影響を与えないもの 第7条3項
  2. 当該個人との契約の履行または契約締結前に当該個人の求めに対応する場合
  3. 管理者が、当該個人の利益に帰する契約を締結、履行する場合
  4. 公共利益の重大事由がある場合
  5. 法的主張の場合
  6. 当該個人の重要な利益保護の場合
筆者プロフィール

榎本司(株式会社GRCS取締役兼COO)

金融系SIerでの営業、事業開発、日本ヒューレットパッカードにおいてセキュリティソリューションのビジネス開発及びアライアンス、クロスビジネスユニットで日本をリードし、また、インフラソリューションのビジネス開発にも従事。当社においてはCOOとして、ビジネスオペレーション、ビジネス戦略、ソリューション開発、新規ビジネス開発等のリードを行う。

GRCS社がカバーするGDPR対応支援サービス
プロセス 現地調査 → 対応計画 → GDPR対策 → GDPR運用
コンサルティング EU法弁護士 アセスメントおよびリーガルアドバイス
  • EU個人データ移行支援
  • GDPRコンサルティングおよび支援(文書作成支援、体制デザイン、計画支援)
  • 各種セキュリティソリューション
  • 各種セキュリティソリューション運用支援
支援サービス GDPR運用支援クラウドサービス開発中「GDPR NT(仮)」
GDPR対応支援サービスに関して

参考文献

  1. NTTデータ先端技術株式会社「EU一般データ保護規則(GDPR)の概要」
  2. 【海外識者シリーズ】杉本武重氏(全6回)
    第1回 EUで始まる新しい一般データ保護規則「GDPR」とは?
    第2回 新しい一般データ保護規則概説(2)「GDPRの適用範囲と執行制度」
    第3回 新しい一般データ保護規則概説(3)「個人データ処理の要件および個人データのセキュリティ」
  3. JETRO
    「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
    「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
  4. JIPDEC
    「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」

関連記事

【特別連載】施行がせまる「EU一般データ保護規則(GDPR)」を学ぼう!