一般データ保護規則、発効前の対応が重要－「EU・英国最新経済動向セミナー」を東京で開催（2）－

＜GDPRは違反になりやすい法律、制裁金も高額＞

　ウィルマーヘイル法律事務所ブリュッセルオフィスのシニアアソシエイト杉本武重弁護士が、「EU一般データ保護規則（GDPR）」の重要な点について具体例を示しながら次のように解説した。

　GDPRは2018年5月25日から欧州経済領域内（EEA）で適用される。EEA内での個人データの処理と、EEA外への個人データ移転を原則禁止し、EUの基本権憲章によって保護されている個人のデータ保護に対する権利という基本的人権の保護を目的とするものだ。現行のEUデータ保護指令（95／46／EC）に基づき、現在は加盟国ごとにデータ保護法が存在しているが、加盟国によっては当局による取り締まりが不十分だったことや、当局による取り締まりが十分に行われていた加盟国でも罰則がそれほど厳しくなかったことから、EEA内での個人のデータ保護に対する権利が十分に守られていないと考えられてきた。GDPRは加盟国ごとのばらばらのデータ保護法に代わってEEA内で適用されるEUの規則であり、違反した場合に科せられる制裁金の上限額は、2,000万ユーロ以下、または事業者の場合には全世界売上高の4％以下のいずれか高い方と高額だ。GDPRは企業のみならず事業者団体や公的機関にも適用され、適用範囲は広い。コンプライアンス対応を何も行わないと原則として違法となる厳しい規則だが、これはあくまでも個人のデータ保護に対する権利という基本的人権の保護を目的とするものであり、通商関係の規則とは一線を画している。また、GDPRはコンプライアンス対応を行わない場合は違反となりやすい法律であるため、規制当局側としては違反の立証が比較的容易であり、うっかりミスでも制裁金を科される可能性があるため、しっかりとした理解と対策が必要だ。

＜GDPRは個人データの「処理」と「移転」に関する法律＞

　GDPRを一言で言うとすれば、「個人データ」の「処理」と「移転」に関する法律だ。GDPRで「個人データ」とは識別された、または識別可能な自然人に関連する全ての情報のことをいい、これに当たるかどうかを判断する必要がある。名刺に記載されている名前だけでなく、内線番号も自然人と結び付ける表などがあれば個人データに該当する可能性がある。所在地データや電子メールアドレス、IPアドレス（日本では個人情報に該当しない）などもGDPR上は「個人データ」に該当する。「処理」とは個人データに対して行われる全ての操作のことで、例えば電子メールアドレスの収集、クレジットカードの詳細情報の保管、従業員の名前などを含むディレクトリの作成などが該当する。「移転」とは、GDPRでは定義されていないものの、個人データをEEA外の第三者が閲覧可能にするあらゆる行為を指すものと考えられる。GDPRは、管理者（単独または共同で個人データ処理の目的と手段を決定する自然人または法人）や処理者（管理者を代理して個人データの処理を行う自然人または法人）がEEA内で行う処理に対して適用されることから、EEA内に駐在する日本人の個人データや、日本からEEA内に移転した個人データを保管する場合もGDPRの対象になる。さらに「特別カテゴリーの個人データ」は、人種・種族的出身、政治的見解、宗教または哲学的信念、労働組合の組合員資格に関する個人データ、遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータもしくは自然人の性生活または性的指向に関するデータを指し、特に要保護性の高い個人データであるため、当該個人データに関するGDPRに違反した場合の制裁金が高額になりやすいと考えられる。

　日本のインターネット通販サイトにEEA内から注文が入り個人データを得た場合もGDPRが適用されることがある。EEA内に拠点がない場合はEU代理人を選任しなければならない可能性がある。EEA内の子会社がGDPRに違反した場合は、親会社グループの全世界売上高をベースに制裁金が科されるため注意が必要で、まずはGDPRの適用対象となる個人データが（社内グループの）どこにあるのか、網羅的にデータマッピングを行うことが重要だ。

＜どのように順守しているか示す必要も＞

　個人データを「処理」または「移転」するには、GDPRを順守しているだけでなく、どのように順守しているのかを示す必要がある。個人データの処理との関係では、GDPRの順守を実証する方法の実行、データセキュリティーに関する義務、データ主体の権利尊重など、多岐にわたる管理者および処理者それぞれに課せられる義務が定められている。また「移転」の場合は、欧州委員会が個人データの保護があると決定した国々（日本はこれに含まれていない）を除くEEA外の国・地域に個人データを移転させることは原則違法であり、適切な保護措置を提供するか、法令上の例外（例えばデータ主体の明示的な同意）に依拠する必要がある。適切な保護措置としては、例えばEEA内の個人データの移転元（データ輸出者）とEEA外の個人データの移転先（データ輸入者）とで、欧州委員会が決定したデータ移転契約のひな型である標準契約条項（Standard Contractual Clause：SCC）を締結すれば適切な保護措置を提供することができる。また、GDPRは同規則の順守を説明するまでが義務となっており（説明責任）、標準契約条項を使ってEEA内から日本本社に個人データを移転する場合は、標準契約条項上のデータ輸入者の義務の順守状況を説明できる必要があるため、本社側としてEEAデータの処理に関する個人データ保護規程とプライバシーポリシーを用意すべきだ。ここでは本社の個人情報保護規程やプライバシーポリシー自体をGDPRを踏まえて改訂してしまうと、全ての「個人情報」の処理にGDPRの厳しい基準を適用することになるため、GDPRとの関係で必要最低限度であるEEAデータの処理についてのみ別個の規程を作成することが重要だ。

　杉本弁護士は最後に、「企業においては、データマッピングをしてどの拠点間でどのような内容で標準契約条項を結ぶかを網羅的に明らかにするとともに、GDPR順守のために企業グループ全体での社内体制を構築し、本規則への対応はコストではなく積極的な投資と捉え、着実に守ることが重要だ」と締めくくった。

　なお、ジェトロのウェブサイトに「EU一般データ保護規則（GDPR）に関わる実務ハンドブック（入門編）（2016年11月）」を公開している。

（鵜澤聡）