企業法務フルサポートMEDIA

企業法務フルサポート 本サイトへ

メールマガジンに登録する

GDPRへ日本企業は対応する必要があるか?-EU一般データ保護規則

日本の情報保護

日本にも2003年から「個人情報保護法」という法律は存在していました。しかし、急速に技術の進歩への対応は遅れていたと言わざるをえませんでした。
そこで、2017年に大きな改正を経て、更に3年ごとに定期的な見直しが実施されることになりました。現在も次期改正(2020年)に向けて様々な論点が議論されています。

EEAの情報保護

近年、テクノロジーの進歩による「プライバシー保護の危うさ」を題材にした著書や映画などが多く公開されています。プライバシー保護に対する世界での関心の高さがうかがえます。
また、実際に2018年3月には、フェイスブックの顧客データ8700万人分が英国の政治データ分析大手ケンブリッジ・アナリティカに流出し、不正流用されるという事件も起こっています。このように個人のプライバシーとテクノロジーの問題は、日常生活から遠く離れた問題ではなくなっています。

現在、世界で情報保護規制の先駆者となっているのはEUです。
2018年は多額の制裁金で注目を集めたGDPR(EU一般データ保護規則:General Data Protection Regulation)の施行の年でした。日本でも大きく報道され,人々の関心の高さがうかがわれました。
EUでは、基本権憲章にて「すべての者が自己に関係する個人データの保護に対する権利を有する」と規定されており、GDPR策定の取り組みは経済活動とは切り離された課題であり「基本的人権の保護」が目的であるとされた点でも目を引く出来事となりました。

基本的権利を保護するGDPR

ユーザーの同意を重視するシステム

GDPRは「同意管理」のシステムとなっています。

1.個人情報を扱うサービス提供事業者は以下についてユーザーからの同意が必要
①個人情報を収集すること
②個人情報を第三者が利用可能にすること
 
2.ユーザーによる「同意の撤回」が可能

GDPRの内容

これらの権利を保護するにあたってGDPRにシステムの運用や実現方法などに関する具体的な記述はありませんが、実務ではGRRPに対応したシステム運用が見られています。
例えば、大手自動車メーカーのウェブサイトで、ユーザーが企業のサイトにアクセスした段階で個別の用途に応じたデータ提供の可否をユーザーが設定することができるようになっています。その後も、登録データ削除リクエストに対応する仕組みとすることも可能であるといいます。

GDPR違反?

ベルギーの公共放送局VRT NWSが7月10日、Google機器に組み込まれているAIアシスタント「Googleアシスタント」によって録音された音声データが、数千件漏洩したと報じました。
これらのデータは製品の性能向上の一環として、音声データをテキストに書き起こす業者と共有されていました。しかし、Googleは音声データを第三者である業者が聞いていたことをユーザーに知らせていませんでした。したがって,その情報を第三者が利用可能にすることに対して明示的な同意も取っていないという点で、同意管理に反しておりGDPR違反である可能性があるということです。

情報通信のグローバル化

情報の分野において、テクノロジーの進歩は大きな影響力を持ちます。今後,避けては通れないのが、国境を越えた情報のやりとりに関する問題です。
家庭のパソコンが世界中と繋がっている時代では,情報は容易く国境を越えてしまいます。
情報を扱うにあたっての規制の度合いは国によって異なっています。前述のGDPRはこのような事態にも懸念を示し、データ取扱いに関して海外との関係も念頭に置かれた規定になっています。

海外にとってのGDPR

GDPRは、EU内部での情報の取扱いに関してはもちろんのこと、EU域内居住者の個人情報を取り扱うEU域外の企業にも適用される場合があります。
その要件は、GDPR3条2項の域外適用の部分に定められています。
2つの場合が定められており、

①EU域内の個人に対して商品またはサービスを提供している場合 
②EU域内の個人の行動を監視している場合

どちらかの場合には、EU域外を拠点とする企業であってもGDPRの適用を受けます。よって、日本国内のみで事業を行っている企業にとっても、「他人ごとではない」可能性があるのです。

GDPRの規制事項

GDPRの規制事項として、前述基本的人権の保護以外の具体的な義務として海外企業にも関係の深い項目が、2つあります。

Ⅰ 個人データの処理

個人データを処理するにあたり、企業は管理者として次のような規制事項を遵守することが求められています。

Ⅱ 個人データの移転

GDPRではEEAの域内から域外への個人データの移転は原則として禁止されています。ただし欧州委員会から「十分性認定」を受けていれば、データ移転が認められます。
日本は、GDPRが施行された2018年5月から十分性認定を受けていませんでしたが、2019年1月に十分性認定を受けることができました。

日本の十分性認定

十分性認定とは、「データ移転先の国が十分なレベルの個人データ保護を保障していること」の欧州委員会による認定です。

日EU間での十分性認定は、2018年7月の日EU定期首脳協議において円滑な個人データの移転に関する枠組みを実現するために日本とEU双方で取り組みを進めていくことが発表され、約半年後の2019年1月23日「EUと日本が個人データに関する保護レベルについて、相互に同等と認める決定を採択したことを歓迎する」十分性認定の発表がありました。

日本では、2016年1月1日から個人情報保護法の一部施行により「個人情報保護委員会」が設置されましたが、これも将来的な十分性認定の申請を見据えてのことでした。EUを始めとする諸外国では、プライバシー保護を一元的に管理監督する機関があるという現状を踏まえ、日本も十分性認定を受けるためには「独立した第三者機関」が必要であると考えられたのです。その他にも、個人情報保護法改正時には、欧州委員会が十分性認定にあたって考慮する要素を多数考慮した改正が行われました。

このようにして受けた十分性認定ですが、欧州委員会は「十分性認定には有効期限の設定はないが、定期的な監視を行う」としています。刻一刻と進化しているテクノロジーの中で、個人データの保護レベルが要求するレベルに達しているかどうか、まずは2年後に最初の監査を行い、その後も少なくとも4年に1回の頻度で監査を行うとしていますので、十分性認定が撤回されることのないように対応していかなくてはなりません。

日本企業への影響

GDPRは、EU域内に拠点を置いている企業はもちろんのこと、域外適用として
①EU域内の個人に対して商品またはサービスを提供している
②EU域内の個人の行動を監視している
どちらかの場合には適用対象となると前述しました。

これにより、例えば、EU域内に子会社や支店を有している企業・日本からEUに商品やサービスを提供している企業・EUから個人データの処理について委託を受けている企業などがGDPRの適用対象となります。

ただし、適用されるかどうか判断が分かれる可能性があるのが、①で用いられている「提供している」の文言です。これは「EUの顧客に対してサービスを提供する意図が明白である」という意味とされています。どのような場合に意図が明白であるとするのか、この点については明らかにEU域内の個人に言及するような記述等がない場合には、個別具体的な事情に基づく判断になります。

いずれにせよ、今後の個人情報保護法の見直しは、GDPRの規定を参考に行われていく様相を呈しています。現時点でGDPRの適用対象であるかどうかに深くとらわれず、同規制の下でも問題なく運用できるような個人情報の管理・利活用システムを構築しておいて損はないでしょう。

次なるプライバシー保護

GDPRに続くプライバシー保護に関する規制として注目されているのが、ePrivacy法です。この法律はインターネット事業者を適用対象としたもので、2017年に欧州委員会が公表し、施行に向けての議論が続いています。

現在、ePrivacy法に似た規則としては、PECR(プライバシーと電子コミュニケーションに関する規則)の中での、オンライン上の人々の情報をトラッキングするためのクッキーの利用や個人的な通信ネットワーク・交通情報・位置情報の利用を規制する項目が挙げられます。2019年7月3日には、英国データ保護当局ICOが、クッキー規則に関する詳細なガイダンスを発行しています。
本題のePrivacy法は、2019年内には成立する見通しとなっています。この法律は、非個人情報を含む通信の機密性に関する保証と利用者にとって迷惑なマーケティングに対する規則に重点を置いており、通信内容とそれに係るメタデータの提供に利用者が同意しなかった場合には、事業者側はその情報を匿名化または削除しなくてはなりません。加えて、ePrivacy法ではトラッキングを目的としたクッキーの利用の抑制にもより力を入れようとしており、そのような場合には利用者の同意が必要であること、並びに利用者がその同意を撤回できるようにすることを求めています。

テクノロジー時代のプライバシー保護

以上のように、個人情報・プライバシーについて、データ主体(利用者)が自らそれをコントロールする権利が強まっています。各国の法規制を見ても「個人情報の無制限な利用を抑制し、規制を強化する」という方向性は共通していると言えます。
ただし、プライバシーの範囲や個人情報の使い道に対する見解には、まだ各国の間に格差が見られるのが現状です。しかしながら、インターネットサービスにおいては簡単に個人情報が国境を越えてしまいます。今後のプライバシー保護は、世界規模でこのギャップを埋める作業になって行くでしょう。

オンラインで世界を相手にした事業を展開することは、非常に大きな可能性を秘めています。しかし、同時に企業は関係国や地域の法規制を常に理解しておかなければ、知らぬ間に重大な違法行為を行ってしまうことになる可能性が十分にあるのです。

メールマガジンに登録する

この記事を読んだ方は
こんな記事も読んでいます