General Data Protection Regulation(一般データ保護規則)

 

 

 General Data Protection Regulation(GDPR(一般データ保護規則)とは,EU(欧州連合)が定めた規則です。

 

 

 GDPRは,2018年5月25日から施行され,一部の日本企業にも適用されることになりました。



 GDPRは,日本の個人情報保護法に類似する法律ですが,いわゆる域外適用といって,EU圏内の企業等だけではなく,一定の要件を充たすと日本にある日本法人等にも適用されます。

 

 

 米国のAntitrust Lawの類,欧州のCempetition Law(競争法)の類,米国のForeign Currupt Practices Act(連邦海外腐敗行為防止法)や英国のBribery Act(賄賂防止法)などと同様に域外適用が認められています。

 

 

 違反すると,最も高い制裁金は,2,000万ユーロまたは前年度の全世界の売上(利益ではない)高の4%のいずれか高い方とされているので,非常に高額です。

 

 

 したがって,EUでビジネスをしている日本企業は,GDPRを遵守しなければ,多額の制裁金を課され,さらに大きくレピュテーションを落とすこと繋がりかねないことを認識しなければなりません。

 

 

 ここでは,至極簡単ではありますが,GDPRのポイントについて解説しています。

 

 

GDPRとは何か

 

 

 GDPRは,European Economic Area(EEA)(欧州経済領域)内で取得された個人情報を処理(Process)し,この個人情報をEEAではない国に移転する(Transfer)場合に,遵守しなければならない要件を定めた欧州規則です。

 

 

GDPRの適用対象となる個人情報とは何か

 

 

 個人を識別した,または,識別し得る個人に関する一切の情報がGDPRの適用対象となります。

 

 

 例えば,氏名,住所,マイナンバー,電子メールアドレスはもちろん,IPアドレス,クッキーの識別子なども含まれます。 

 

 

個人情報の処理(Process)とは何か

 

 

 個人情報に対する一切の作業だと考えて頂いて問題ないでしょう。

 

 

 例えば,EEA内の顧客の氏名や連絡先を収集したり,EEA内にある子会社の従業員の住所をエクセルで管理したり,顧客リストの情報を最新のものに更新したりする行為が含まれます。

 

 

移転(Transfer)とは何か

 

 

 移転(Transfer)については,GDPRは定義を定めていません。そのため,かなり広く解釈されるおそれがある点に注意が必要です。

 

 

 典型例は,日本企業がEEA内で自社製品の展示会を行って潜在顧客の名刺を収集し,これを日本国内に持ち帰るという場合が該当します。



 要するに,EEAの個人情報を海外に持ち出すという例です。



 また,EEA内の子会社が収集した顧客の電子メールアドレスのリストを親会社に送信するなどの行為も電子上の移転ですので,移転(Transfer)に該当します。

 

 

 しかしながら,移転はこのような典型的な場合に限られず,例えば,親会社である日本企業が,EEA内の子会社が作成した顧客リストに日本からアクセスするという行為も含まれます。

 

 

 また,例えば,イタリアの販社からドイツの販社に対して,イタリア販社の従業員の情報をデータでメール送信するというような場合に,サーバーが日本にあり,そのデータが日本のサーバーを介して移転するという場合,いったん日本というEEA外の国に移転するということになってしまいます。

 

 

 簡単にいうと,手段を問わず,EEA内の個人情報を海外からアクセスできるようにすれば,物理的な移転を伴わずともGDPAでいうところの「移転」(Transfer)に該当すると理解して良いでしょう。

 

 

個人情報を処理(Process)するのに守らなければならない要件は何か

 

 

 EEA内の個人情報を処理するためには,一定の条件を充たさなければなりません。

 

 

 典型例は,個人情報を処理される個人が,自分の個人情報が特定の目的のために処理されることに同意した場合に,当該個人情報を処理できるという場合です。



 ここは,日本の個人情報保護法と似ています。他にも処理できる場合がありますが,この個人の同意を得て処理するという場面がもっとも典型的といえるでしょう。



 しかし,この「同意」は曖昧なものであってはならないとされています。



 当該個人が任意に同意し,どのような目的で情報が利用されるのかの情報提供を具体的に受けた上で,明確に積極的に同意の意思が表示されなければ同意があったとは認められない(この場合の個人情報処理はGDPR違反になる)とされています。



 したがって,例えば,ウェブサイト上のプライバシーポリシーや利用規約の下の部分にあらかじめチェックがされているようなチェックボックスがあり,「次へ」などのボタンをクリックすると個人情報処理に同意したことになるなどの取り扱いは認められない可能性が高いでしょう。



 さらに,個人情報を取り扱う企業は,個人の同意があったことを証明できるようにしておかなければならず,また,当該個人がいつでも与えた同意を取り消すことができるようにしておかなかければならないなどの要件も課されています。


 

 プライバシーポリシーなどをGDPRに適合するように改定する必要が出てきます。



個人情報を移転する(Transfer)場合に守らなければならない要件は何か



 例えば,日本企業のEEA内にある子会社(販社)が取得したEEA内の顧客リストを,日本本社がグループ企業全体のマーケティングのためにこれを閲覧し,ダイレクトメールなどを送るという場面を考えてみます。



 この場合,EEAの顧客情報を日本企業が閲覧するので,EEA内の個人情報を日本という海外へ移転するということになりますから,GDPRが定める個人情報移転のための要件を充たさなければ,日本企業は販社の顧客情報を閲覧することはできません



 要件を守らずに閲覧すれば,GDPR違反となり,理論上は前記の多額の制裁金の対象となります。



 個人情報を移転するためには,移転先が個人情報を適切に守っている(adequate level of protection)と欧州委員会が認める国(GDPR45条(3))であれば,GDPRに定めた要件までは充たさずに個人情報を移転できますが,そうでない国に移転する場合は,下記のとおりの要件を充たさなければなりません。



 ちなみに,日本はこのadequate level of protectionがある国として欧州委員会で認定された国ではないため,この要件を充たす必要があります。



 個人情報保護の適切性があると欧州委員会が認めた国以外の国に個人情報を移転する場合,まずは,移転元と移転先との間で標準契約条項(Standard Contractual Clauses)(SCC)または拘束的企業準則(Binding Corporate Rules)(BCR)(監督機関の承認が必要)などを定めているかを見るのが通常です。



 これらが定められていれば,日本企業はEEA内の販社の顧客情報にアクセスことが可能と理解して良いでしょう。



 個人情報の移転元と移転先とにこれらの定めがない場合,当該個人が,個人情報保護の適切性があると欧州委員会が認定した国以外の国に自分の個人情報が移転することを伝えられた上で,明確に同意したといえる場合にのみ,移転が許されます。



 企業がこのような同意を逐一個人から取り付けるというのは,現実的でない場合が多いでしょう。そのため,当面はSCCの締結で対応する企業が多いものと推察されます。



 ただし,監督機関による事前承認が必要とされていないSCC(監督機関への事前通知は必要とされている場合あり)ではなく,監督機関の事前承認が必要なBCRを定めて移転させる方がより安全かつ適切であるといわれています。



その他



 その他にも,GDPRは,かなり詳細な要件を定めており,非常に長文の規則です。



 例えば,EU県内に拠点を設けずビジネスをしている企業の場合に,EUに代理人(Representative)を選任しなければならない場合(GDPR27条)や,データ保護責任者(Data Protection Officer)(DPO)(GDPR37条)を選任しなければ場合などもあります。


 

 また,EU圏内の国の現地法にも注意が必要です。


 

 GCPRの制定を受け,EU各国は,自国の法律を再度整備しています。



 現地法人などがこれによる対応をしなければならないことがありますので,注意が必要です。



 例えば,イギリスでは,一定の要件を充たした現地法人は,Information Commissioner's Office(ICO)という機関に登録をしなければならないとされています。



 また,DPOの情報もICOに登録することになっています。



 対策を怠り,制裁金を課されるようなことのないよう,準備を慎重に進める必要があるでしょう。

  


IMG_6603 resized 2.jpg

 


 プライバシーポリシーの改定,SCCの作成などのGDPR対応に関するサービス内容のお問合せ,見積依頼はこちらからお気軽にどうぞ。



 正式にご依頼頂くまでは料金は一切かかりません。

 

 

 原則として,当日,遅くとも1営業日以内(24時間以内)に折り返しご連絡させて頂いております。

 

 

 

 

 

お問合せフォーム・メールでのお問合せ

  お問合せフォーム 

 kikuchi@mkikuchi-law.com

※契約書を添付して頂ければ見積回答致します。

受付時間:24時間



お電話でのお問合せはこちら

 03-6453-6337

弁護士菊地正登(キクチマサト)宛

受付時間:9:00〜18:00(土日祝日は除く)

 

ロゴ.jpg


▲このページのトップに戻る