個人情報を取り扱う日本企業にはリスク-「欧州最新ビジネス動向セミナー」を開催(2)-

(EU、欧州)

欧州ロシアCIS課

2016年04月05日

 ジェトロが3月17日に都内で開催した「欧州最新ビジネス動向セミナー」報告の後編は、欧州個人情報保護法の改正動向と日本企業の実務対応について解説する。

<欧州に進出していない日本企業も対象>

 アシャースト法律事務所ロンドンオフィスのパートナー弁護士である岩村浩幸氏が、欧州個人情報保護法の改正動向と日本企業が取るべき対策について紹介した。

 

 欧州において、個人情報の保護は非常に重要と見なされており、EUでは1995年に批准されたEU指令(95/46/ECに基づく各国法によって個人情報が保護されてきた。しかし各国法に差異があり、またインターネット普及前の制定だったため、現状にそぐわない法律となっていた。このような中、欧州議会、欧州委員会、EU理事会(閣僚理事会)の3者は201512月、新たな枠組みの「一般情報保護規則(GDPR)」の最終案について合意した(欧州委プレスリリース参照)。この規則は2016年春に欧州議会で決議され次第発効し、2年後の2018年春から適用される予定だ。欧州ビジネスに関わる企業は適用開始までの間に対策を講じる必要がある。

 

 GDPRにおいては、(1)欧州で設立されており、個人情報を処理している情報管理者(注1)および情報処理者(注2)のみならず、(2)欧州で設立されていなくても、例えばインターネットなどで欧州地域を対象に商品やサービスを提供する際に、欧州の情報主体者(注3)の個人情報を処理している情報管理者および情報処理者も個人情報を処理することが求められるため、欧州に進出していない企業であっても無関係ではない。また情報主体者は、個人顧客に限らず、企業の従業員も含まれることに、欧州進出企業は留意すべきだ。

 

 情報管理者には、「適切な技術的および組織的施策」が求められる。「基本的にはGDPRの規定を理解した上で社内ルールを制定し、それをしっかりと守っていくことが最も確実な対策となる」と岩村氏は指摘した。

 

<個人情報処理に6つの原則>

 GDPRには6つの個人情報処理の原則が規定されており、これを守ることが一番重要だ。また、原則の1つに「合法、公正であり、透明性がある情報処理」という項目があるが、合法性が認められるための手段は幾つか挙げられている。この中で最も一般的な手段は、情報処理に関する同意をあらかじめ情報主体者から得ておくことだ。同意が有効と認められるためには、同意が「自由に与えられたもの」であることが条件の1つとなる。例えば、欧州においては従業員の同意は必ずしも自由に与えられたものではないと見なされる傾向がある。また、あらかじめ同意書の同意欄にチェックが入っており、情報主体者が同意しない場合にはチェックを外さなければいけない仕組みを設けている場合、情報主体者が積極的に行った「同意」とは見なされないことにも注意が必要だ。ただし同意以外にも合法性を確保する手段はあり、同意を取らなければ情報処理ができないわけではないことを理解することは、情報処理に関して企業が取り得る選択肢を増やすことにつながる。

 

 情報主体者の個人の権利や自由の侵害につながる可能性が高い情報処理を行う場合で、その影響が大きいと情報管理者が判断した場合は当局に申し出る義務があるが、どのような情報処理がその対象となるかについては、今後当局が具体的なリストを作成することとなっている。

 

 岩村氏は、情報漏えい時の対応や情報主体者への個人情報処理に関する情報提供における注意点についても解説した。

 

GDPR理解し対策取ればリスク低減が可能>

 日本企業が特に注意しなければならないのが、欧州域外への個人情報の転送だ。岩村氏によると、「欧州域外への転送は、欧州委により適切な個人情報保護の制度を有すると認められた国であれば無条件で認められるが(2015年10月21日記事参照)、日本は現時点でこの対象として認められていない。このため個人情報を欧州地域から日本へ転送する場合は一定の条件を満たす必要があるが、ほとんどの日系企業は、欧州委により採択された標準情報保護条項(SCC)を、欧州域内に設置された企業と域外の企業との間で締結することで、一定の条件を満たしている」という。

 

 同法に違反した場合には、罰金として「最大2,000万ユーロまたは全世界の前年売上高の4%のうち高い額」が科される。この金額は今回の法改正によって引き上げられた。日本では過去に数百から数千万人規模の個人情報流出事件が発生するなど、対策の不十分さが散見されるが、これまで罰金を科された事例はほとんどなかった。しかし、今回の法改正により欧州の情報主体の個人情報を取り扱う日本企業のリスクは確実に増大する。同法における罰金などの罰則強化について特に注意が必要だ。

 

 最後に岩村氏は「GDPRの内容を正しく理解し、必要となる手続き・施策を取っている場合には、リスクの大幅な低減は可能であり、GDPRの原則にのっとった適切な情報管理が確実になされるよう社内で十分な対策を取ることが最も重要だ」と、講演を締めくくった。

 

(注1)個人または法人で、個人情報の処理の目的や方法を決定する者。

(注2)個人または法人で情報管理者のために情報を処理する者。

(注3)個人情報が属する個人。

 

(古川祐、根津奈緒美)

(EU、欧州)

ビジネス短信 c01b3a1318847485

関連情報