世界で最も厳しい個人情報の保護に関する法律と言われている欧州連合(EU)の「GDPR(一般データ保護規則)」が2018年5月25日に施行されました。
EUに支社や営業所などを持つ大企業だけではなく、ホテルや旅館、あるいはインターネットを通じて海外に商品を販売している中小企業など、EU居住者の氏名や住所などの個人データを取得する企業が対象となります。
重要なのは拠点が日本国内にある企業でも、EU居住者の個人データを収集、または取り扱いを行えばGDPRの適用対象となることです。
そこで、今回は知らないうちに多額の罰金を科せられるリスクを回避するために、GDPRの重要ポイントと対応策について分かりやすく解説します。
GDPRとは
GDPRとは、個人データの保護及び取り扱いなどについて定めたEUの法令で、正式には「General Data Protection Regulation(一般データ保護規則)」と言います。
EUでは、EU域内の個人データ保護を規定する法として「Data Protection Directive 95(EUデータ保護指令)」が近年まで適用されてきましたが、GDPRによって個人データやプライバシーの保護に関し、以下の点に重点を置き更新されています。
- 個人の権利の強化
- EU域内市場の強化
- 規則の強化の保証
- 個人データの国際移転の簡素化
- グローバルなデータ保護水準の設定
GDPRの適用範囲
GDPRでは、EU域内に拠点のある企業及び、拠点を持たない企業に関する地理的な適用範囲について次のように規定しています。
※GDPRのオフィシャルな日本語版はありませんから、正確に知りたい方はオリジナルを参照してください。
第3条 地理的適用範囲1. 本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
2. 取扱活動が以下と関連する場合、本規則はEU域内に拠点のない管理者又は処理者によるEU域内のデータ主体(本人)の個人データの取扱いに適用される:
(a) 本人の支払が要求されるか否かを問わず、EU域内の本人に対する物品又はサービスの提供。又は
(b) 本人の行動がEU域内で行われるものである限り、その行動の監視。
3. (省略)
条文中の「管理者」とはEU居住者の個人データ取り扱いの目的・方法を決定する者、「処理者」とは管理者の代わりにEU居住者の個人データを取り扱う者です。
本条に規定されるGDPRの地理的適用範囲を整理すると次のようになります。
- EU域内に拠点を置く「管理者」又は「処理者」
- EU居住者に対して商品やサービスを提供するEU域内に拠点の無い「管理者」又は「処理者」
- EU居住者のEU域内の行動監視※を行う、EU域内に拠点の無い「管理者」又は「処理者」
※行動監視:例えば、アプリやウェブサイトでの個人の行動履歴や購買履歴の追跡や監視カメラによる行動監視などが含まれます。
このように、拠点が日本国内に有ったとしてもEU居住者の個人データを収集し取り扱う者はGDPRの適用対象となるのです。
個人データの取扱いに関する基本原則
最初に「個人データ」がどこまでの範囲を指しているか条文の規定を確認しましょう。
第4条 定義(1)個人データとは、識別された自然人又は識別可能な自然人に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に識別されうる者をいう。
ここで注意しなければならないのは「氏名」や「識別番号」の他に、「位置データ」や「Cookie」「IPアドレス」などのオンライン識別子などで得られる個人データも対象となることです。
個人データの取扱いに関する6つの基本原則
GDPRでは「管理者」や「処理者」に対し、個人データの取り扱いに関する6つの基本原則を定めています。
⒈ 適法性・公正性・透明性の原則
本人に対し、適法・公正・透明性のある態様で取り扱う。
⒉ 目的限定の原則
個人データは、明確で正当な特定の目的のために収集されるものとし、その目的以外の取り扱いをしてはならない。
⒊ データの最小化の原則
個人データの利用目的に対し、十分であり、関連性があり、必要のあるものに限定する。
⒋ 正確性の原則
個人データは正確であるとともに、必要な場合には最新の状態に維持されなければならない。また、不正確な個人データは遅滞なく消去又は訂正するために必要な全ての手段を講じる。
⒌ 記録保存期間の制限の原則
本人の識別方式は、個人データの利用目的のために必要な期間に限定して維持されなければならない。
⒍ 完全性及び機密性の原則
管理者及び処理者は、個人データの安全性や機密性を確保するために、無権限者や違法なアクセス、またはアクシデントによる喪失・破壊を防止する適切な措置を講じなければならない。
「管理者」及び「処理者」の義務
GDPRは、主としてEU居住者の個人データの取り扱い、またはEU域内から第三国などへの移転に必要な義務を定めていますが、具体的には次のような義務が含まれています。
通知 | 個人データを収集する場合には、①当該個人データを取り扱う理由、②保管する期間、③第三者に提供するときはその相手先を通知する。 |
同意 | 本人から個人データの取り扱いについての明確な同意を得る。(※16歳未満の子供からデータを収集する場合は保護者の同意が必要) |
アクセス権と ポータビリティ | 本人が自らの個人データにアクセスできるようにし、また、当該データを別の会社に移動可能にする。 |
警告 | 個人データの侵害が発生した場合、原則として72時間以内に管轄監督機関へ通知。また、深刻なリスクとなる場合には、本人へ通知。 |
データの消去 | 本人から個人データの消去を要求された場合は、表現の自由や研究素材としての能力を損なわない限り消去する。 |
マーケティング | 個人データを利用したダイレクトマーケティングをオプトアウト(受取拒否)する権利を本人に与える。 |
センシティブ データの保護 | 健康、人種、性的指向、信仰、政治的信条に関する情報については特別の保護手段を用いる。 |
EU以外への データ移転 | EU当局の承認を得ていない国へ個人情報を移転する場合は法的手続を行う。 |
データ保護オフィサーの設置 | 一定の場合には、GDPRの遵守を監視するデータ保護責任者を設置する。 |
GDPR違反者への罰則
GDPRに違反した場合には、違反行為の性質、重大性、被害の程度、故意の有無などの諸事情に応じ、次のような巨額の制裁金は課せられる可能性があります。
管理者及び処理者が遵守すべき義務を違反した場合
【制裁金】
企業の全世界年間売上高の2%以下、または1,000万ユーロ以下のいずれか高額な方
義務違反に該当すると考えられる事例※
- 16歳未満の子どもの個人データ収集・処理に関し、保護責任者の同意または許可を得なかった場合
- 拠点がEU域内に無い管理者または処理者が、EU代理人を選任する義務を怠った場合
- 個人データの侵害が発生した場合、原則として72時間以内に管轄監督機関へ通知し、深刻なリスクとなる場合には、本人へ通知する義務を怠った場合
※上記はGDPR第83条4の一部について紹介したものですので、詳細は条文で確認してください。
個人データの取り扱いに関する基本原則や、本人の権利などに関する規定に違反した場合
制裁金
企業の全世界年間売上高の4%以下、または3,000万ユーロ以下のいずれか高額な方
義務違反に該当すると考えられる事例※
- 個人データを目的以外で使用した場合
- 本人の同意を得ないで収集した場合
- センシティブデータの取り扱い規定に違反した場合
- 本人の個人データへのアクセス権などに関する規定に違反した場合
※上記はGDPR第83条5の一部について紹介したものですので、詳細は条文で確認してください。
GDPRとは:まとめ
ここまで、EUの一般データ保護規則「GDPR」について、構成・適用範囲・個人データ取り扱いの基本原則・事業者の義務・罰則などの概要を説明してきました。
インターネットやキャッシュレス決済の普及で、簡単に海外の消費者と取引ができる現状を考えるとGDPRは決して無視できない法律で、EEA・EU加盟28ヵ国・ノルウェー・アイスランド、リヒテンシュタインと個人データをやり取りするほとんどの企業が適用対象となります。 本記事では重要ポイントに絞って解説していますので、実際に対応を検討する際にはGDPRのオリジナルや、次の関連サイトなどで詳しい情報を取得してください。
- GDPRの解説、条文及びガイドライン 個人情報保護委員会(PPC)
- GDPRの解説、実務ハンドブック 日本貿易振興機構(JETRO)