EU一般データ保護規制について教えてください。
-
EU一般データ保護規制(General Data Protection Regulation : GDPR)※1
GDPRの適用対象となりうる日本企業のための解説は以下のとおりです。
はじめに
2018年5月25日、EU(EEA)は一般データ保護規制(General Data Protection Regulation : GDPR)を施行した。
違反した場合の制裁金は2000万ユーロ又は全世界の売上の4%のいずれか高額な金額を上限とする。同規制によってグーグル社が5000万ユーロの制裁金を課されたことは大きなニュースとなった。2000万ユーロ(120円/ユーロだと24億円)までは売上の4%を超えても課される可能性があるからこの制裁金は大企業にとっても大きなダメージとなる。
以前書いた本でも強調したが、個人情報は企業にとっては利益の淵源となるマーケティングデータである。反面、情報主体の個人にとっては憲法上のプライバシー権利つまり人権だ。
個人情報に関する問題が公になると"経済的利益のために人権を侵害する企業=最低の会社"と評価されることになる。その企業のブランドは深く傷つかざるを得ない。
個人の権利を尊重するという核心を理解せず、書かれたルールをクリアしようとしても上手くいかない。個人情報の取り扱いは、その企業のステークホルダーに対する誠実さや優しさを測るリトマス試験紙だと考えて欲しい。
適用対象
地理的適用範囲は、28のEU加盟国とアイスランド、リヒテンシュタイン、ノルウェーの3国を加えたEEA(以下本稿では「EU」と表示する)である。
適用対象事業事業者は、(1) 域内の管理者又は処理者の拠点の活動の過程における、
又は、(2) EU域内に拠点のない管理者又は処理者による(a) EU 域内のデータ主体に対する物品又はサービスの提供、及び(b) データ主体の行動がEU 域内で行われるものである限りその行動の監視(行動解析、位置情報解析、クッキーなどトラッキング技術によるモニタリング等)に関連するEU域内のデータ主体の個人データの取扱いに適用される(GDPR3条・以下単に条文を示すときはGDPRの条文とする)。
上記(1)における個人データの処理は域内で行われるものに限らない。
上記(2)(a)「EU域内のデータ主体に対する」ものか否かは、同域内からのアクセス可能性、使用言語、決済通貨、SEOやSEMの態様などから判断される。同条項の「物品又はサービス」は、Facebookのように無償のものを含む。
従って、EU域内に事業拠点を有しない外国法人であっても、上記の基準に該当すればそのECサイトやITサービスは適用対象となる。
EU域内から域外への個人データの移転について、日本は、UEから2019年1月23日付で個人情報保護に関する法整備に関する十分性認定を受けたためEUの標準データ保護条項(Standard Data Protection Clauses)および拘束的企業準則(Binding Corporate Rules)に依拠する必要はないが(45条)、同認定を受けるために個人情報保護委員会が定めた「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール※2」の規制を受ける。
域外移転に関する補完的ルール※2は以下のように定めている。
(1) データ主体の性生活、性的志向、労働組合に関する情報は個人情報保護法第2条3項の「要配慮個人情報」と見做す。
(2) 政令で定める期間(6月)以内に消去することとなるものであっても個人情報保護法の2条7項の「保有個人データ」と扱う。
(3) 第三者から提供された個人データは取得時に特定された利用目的による制限に服する。
(4) 個人データを第三国へ移転するには、そのリスクについて同意を得て取得しなければならない。
(5) 匿名加工情報として扱うためには復元不能とするために加工方法に関する情報が廃棄されなければならない。
なお、十分性認定は定期的に審査されるため、日本における個人データの取り扱いの不祥事が多発するなどすれば、同認定が取り消されることも考えられる。認定取り消しは日本の経済活動にとって大きなダメージになるから、日本国内においてもルール違反をする事業者には厳しい対応が待っていると考えるべきだ。
個人データの取り扱い: 個人情報保護法vs GDPR
個人データの取り扱いに関して、個人情報保護法に準拠しただけではGDPRから見て不足な点を概観する。
(1) 取扱いの適法性(6条)
個人データの取扱いには、データ主体が特定の目的のための自己の個人データの取扱いに同意を与えたことや、データ主体が契約当事者となっている契約の履行のために取扱いが必要となることなど法的根拠が求められる(13条1項c)。
データ主体の同意は、任意性、明白性、特定性、判断材料の提供を備える必要がある(4条)。力関係の不平等な契約当事者間における弱者の同意は任意性を認められない可能性があり、利用目的が抽象的だと特定性を満たさないと判断される。
また、データ主体の「同意」は、自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものとされている(第4条11号)。誰にでもわかるように丁寧な説明をしたうえで、本人から積極的な同意を得なければならない。
(2) 取得における情報提供(13条、14条)
個人データの取得にあたり、管理者の連絡先やデータ主体の諸権利など様々な情報を提供することが求められる。これまで日本企業が通例的に用いてきた既存のプライバシーポリシーでは不十分である。
(3) データ主体の権利
GDPRが保護しようとする権利には、データ主体のアクセス権、訂正および消去の権利、取り扱い制限の権利、データポータビリティ権、プロファイリング利用への異議の権利(15~22条)などがあり、日本の個人情報保護法では認められていないものがある。
「プロファイリング」とは、個人の経済状態や健康状態、趣味嗜好などの側面を評価するための個人データの自動的な取り扱いをいう。プロファイリングを行う場合には、それがデータ主体(個人情報保護法的にいうと本人)に及ぼす影響を提供する必要がある。またデータ主体から異議があればそれに対応しなければならない。特にダイレクトマーケティングのためにプロファイリングが行われる場合には、データ主体が異議を述べればやむを得ない事由などによる抗弁は許されず、取扱を中止しなければならない(21条3項)。
(4) 個人データの侵害の監督機関及びデータ主体への報告(33条、34条)
以上
参考URL:
※1 GDPR
https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf
※2 補完ルール
このQ&Aを見た人におすすめ