個人情報保護に関する規則「GDPR」について見聞きしたことがあるものの、具体的な内容や必要な対応はわからないという方もいるのではないでしょうか。

GDPRの概要や規制の対象、日本企業が対応するべきことについて、法律事務所ZeLo・外国法共同事業のジャンジャック 誠 ジャッカースイス弁護士(日本では弁護士未登録)に伺いました。

記事ではQ&A形式で解説します。

プロフィール

ジャンジャック 誠 ジャッカー 氏
法律事務所ZeLo・外国法共同事業
2009年ジュネーブ大学法学部卒業。2012年ジュネーブ州弁護士資格取得(スイス法)。2013年スイス法律事務所の日本支部に入所。2019年より合併したKellerhals Carrard法律事務所ジュネーブに2年間転籍。2021年Kellerhals Carrard法律事務所東京支部パートナーに昇格。2022年法律事務所ZeLoに参画。同年DPO(Data Protection Officer) Certificate, Data Protection Institute Brussels取得。 主な取扱分野は欧州・日本間のインバウンド・アウトバウンド取引(M&A、デューデリジェンス、マーケットエントリー)、データ保護、フィンテックなど。母国語はフランス語・日本語であり、日本を知る弁護士として様々なフランス語のラジオ番組にも参加経験あり。

この記事で学べること

・GDPRの基本や日本企業が対象となるケース
・GDPR対策としてやるべきこと
・万が一GDPRに違反してしまった場合に備えた準備
・今後予想されるGDPR・データ保護の新しい課題

目次

  1. GDPRの基本に関する質問
    1. GDPRとはどのような規則でしょうか?
    2. 日本企業でGDPRの対象になるのはどのような場合でしょうか?
    3. GDPRで保護される「個人情報」とは具体的に何のデータでしょうか?
    4. GDPRが「日本の個人情報保護法よりも厳しい」と言われる理由はなぜでしょうか?
  2. GDPR対策に関する質問
    1. 日本の企業は、GDPRへの対策として何から取り組むべきでしょうか?
    2. 「データ保護責任者」を立てる必要はあるのでしょうか?
    3. 意図に反してGDPRに違反してしまった場合に備えた対策は?
  3. その他の質問
    1. 他社のビジネスツールを利用している場合はどのような点に注意すればよいでしょうか?
    2. GDPRの規制は今後さらに厳しくなっていくのでしょうか?

GDPRの基本に関する質問

Q. GDPRとはどのような規則でしょうか?

ジャッカー氏:
GDPRは「General Data Protection Regulation」の略称で、EU加盟国にアイスランド、リヒテンシュタイン、ノルウェーを加えた欧州経済領域EEA)における個人情報を保護するためのデータの取り扱いなどを定めた規則です。日本語では「EU一般データ保護規則」と呼ばれます。

GDPRは「EEA内の全ての個人の権利を全世界で護る」というアプローチのため、地理的な適用範囲が広いことが特徴です。EEA外の事業者であっても、EEA内の個人情報を扱っていれば適用される可能性があります。

Q. 日本企業でGDPRの対象になるのはどのような場合でしょうか?

ジャッカー氏:

  • EEA内に子会社がある場合
  • EEA内の市場調査を依頼する場合
  • EEA内の個人のために商品・サービスを提供している場合

などは、日本企業もGDPRの対象です。

GDPRの適用範囲は、「拠点基準」と「標的基準」の2種類があります。

●拠点基準

「拠点基準」は、EEA内に住所などの拠点を有している場合に該当します。子会社がEEAにあり、子会社を通して日本にEEA内の個人情報が移転される場合などです。また、EEA内に子会社が無い場合であっても、将来的なEEAへの進出を考えていて、エージェントなどに市場調査を依頼する場合も対象です。

●標的基準

「標的基準」は、EEA内に拠点が無くても、EEA内の個人のために商品・サービスを販売、提供している場合に該当します。Webサービスなど、全世界に提供するサービスを展開していて、EEAがターゲットに含まれる場合はGDPRの対象となる可能性があります。

EEA内のユーザーをターゲットとしているかどうかの線引きについては、Webサイトの表示言語や、決済に利用できる通貨などが判断材料となります。

Q. GDPRで保護される「個人情報」とは具体的に何のデータでしょうか?

ジャッカー氏:
GDPRでは日本の法律よりも個人情報として扱われるデータの範囲が広く、「識別された自然人、または識別可能な自然人に関する情報」と定義されています。

わかりやすい例では、氏名や、日本でいうところのマイナンバーなどの識別番号位置データIPアドレスなどが保護の対象です。また、人の好みなど「自然人の精神的・経済的・文化的な同一性を示す要素」も個人情報として取り扱われます。

Q. GDPRが「日本の個人情報保護法よりも厳しい」と言われる理由はなぜでしょうか?

ジャッカー氏:
主な理由は、個人情報の範囲の広さと、罰則の厳しさの2点です。

IPアドレスや、誰のものかわからない嗜好、閲覧履歴などは、日本の個人情報保護法では「個人関連情報」として扱われ、「個人情報」とは扱いが異なります。一方、GDPRの場合はいずれも個人情報として扱われる対象です。

GDPRに違反した行為があった場合、法律上では、最高罰金額は2,000万ユーロまたは前年の全世界売上高の4%のいずれか大きい額の制裁金が科されるというルールがあります。有名なケースでは、Meta社がアイルランドで12億ユーロの制裁金を支払う命令を出されました。

GDPR対策に関する質問

Q. 日本の企業は、GDPRへの対策として何から取り組むべきでしょうか?

ジャッカー氏:
前提として、GDPRに限らず個人情報を扱うすべての企業はセキュリティ対策が必要です。個人情報が保管されているデータベースをパスワードで守る、データを暗号化する、個人情報にアクセスできる権限を有する者を最小限にするなどです。

その上での最低限の対応として、

  • どの個人情報を何のために処理するか
  • 個人情報を提供するデータ主体の権利
  • 個人情報に関する問い合わせがあった際の窓口を明確にする

という、説明義務への対応が必要です。個人情報の利用目的などを定めたプライバシーポリシーCookieポリシーなどをWebサイトに掲載する必要があります。

Q. 「データ保護責任者」を立てる必要はあるのでしょうか?

●データ保護責任者(DPO)について

ジャッカー氏:
データ保護責任者(DPO)については、データを取扱っている業者の中核的業務(core activities)が、その内容、範囲および/または目的の観点から見て、データ主体の定期的かつ系統的な監視(regular and systematic monitoring)を大規模(large scale)に行うことを必要とする処理業務からなる場合には設置が求められます。

●代理人について

また、データ保護責任者だけでなく、EEA内に代理人を立てなくてはならない場合もあります。

EU域内に拠点を持たない企業で、EU域内の個人に商品やサービス(無償提供も含む)をオンライン等で提供している場合やEU域内の個人の行動を監視している場合、EU域内の代理人を指定する義務があります。

代理人は必ず立てるものではなく、次の条件をすべて満たす場合は適用対象外となります。

  • 時折しか個人情報が取扱われず、体系的には行われない場合
  • 特別な種類の個人情報または有罪判決及び犯罪と関連する個人情報の大規模な取扱いは含まれない場合
  • データ処理によってもたらされるデータ主体の権利および自由へのリスクが低い場合

●定期的に再評価を

EEAデータの処理が「大規模」か、「定期的」なものか等と判断されるかどうかによって、データ保護責任者・代理人を立てる必要性が変わるため、定期的に状況を再評価していくことが合理的なやり方です。

例えば、世界をターゲットとして実際に事業を開始した後、EEAでは商品が全く売れなかったというような場合には、GDPRでいうデータ保護責任者または代理人は不要になることもあり得ます。一方、EEAで人気が出て繁盛した場合には、代理人を立てる必要性が出てきます。

Q. 意図に反してGDPRに違反してしまった場合に備えた対策は?

ジャッカー氏:
万が一、ランサムウェアやデータ漏洩、ハッキングなどのデータ侵害が起きた場合、データ侵害を受けた企業はその旨をEEAの各加盟国にあるデータ保護監督機関に通知する義務が発生するケースがあります。

更にGDPRでは、問題に気付いてから72時間以内までに報告する義務があり、監督機関にただ侵害の発生を知らせるにとどまらず、その内容を詳細に伝えねばなりません。

例えば、

  • 個人データが漏洩した被害者と侵害を受けた組織との関係
  • 盗まれた情報の種類・規模
  • 侵害の結果予想される影響
  • 侵害の結果、今後どのようなセキュリティ上の問題が発生すると予想されるか
  • 問題修復の措置と影響緩和の措置の内容
  • 脅威の拡大を抑え、脅威の影響を緩和するうえでどのような措置を行ったか、あるいは行う予定か

などといったことが挙げられます。

その他の質問

Q. 他社のビジネスツールを利用している場合はどのような点に注意すればよいでしょうか?

ジャッカー氏:
AWS(Amazon Web Services)やGoogleのツールなど、アメリカ企業のサービスを使っている場合、アメリカのデータ保護の水準がEEAに認められているかを確認する必要があります。

GDPRでは、EEA内の情報をEEA外に簡単に移転してはいけないことが原則です。そのため、データを移転する際は、移転先の個人情報保護法がGDPRと同等の水準になっているか十分性認定)が重視されます。

「十分性認定」を受けていない国の場合は、その方法以外でも、GDPRによる「適切な保護措置」があればデータの域外移転が可能です。ここで認められる「適切な保護措置」に「標準契約条項(Standard Contractual Clause, SCC)」などがあります。

アメリカでは、2023年7月に「Data Privacy Framework」という個人情報保護に関する3つめの規制ができました。EUと米国の間には、2020年までいわゆる「プライバシーシールド」協定が存在していましたが、2020年7月16日の欧州司法裁判所のSchrems II判決によって無効となりました。この判決において、欧州司法裁判所は、「米国企業は個人情報保護について十分な基準を確保できない」としていました。

そのため、現在運用されている「Data Privacy Framework」についても同様に、今後見直しを求められる可能性があります。

アメリカに限らず、海外のツールを使っている場合は、その国のデータ保護の水準がEEAに認められているかどうか、また「適切な保護措置」を設置する必要があるかを確認することが重要です。

Q. GDPRの規制は今後さらに厳しくなっていくのでしょうか?

ジャッカー氏:
GDPRは、1990年代からあったルールがひとつにまとまったような形の規制のため、それ自体は厳しくなっていかないと予想されます。ただし、昨今はAIツールの活用が広がっており、2023年12月、欧州議会は人工知能(AI)に関する統一規則案について暫定的な合意に達したと発表しました。これから、AIと個人情報の保護の関連性に注目が必要でしょう。

インタビューのポイントまとめ

・GDPRは欧州経済領域(EEA)の個人情報保護に関する規則
・EEAを対象としたビジネスを行う場合やEEAの市場調査を依頼する場合などは日本企業も対象となる
・GDPR対策としてWebサイトへのプライバシーポリシー、クッキーポリシーの掲載や、必要に応じた代理人、データ保護責任者の設置などが挙げられる
・GDPRは日本の個人情報保護法よりも罰則が厳しく個人情報として扱われるデータ範囲も広い
・他社のビジネスツールを利用している場合は、サービス提供企業の国のデータ保護水準を確認する必要がある

▼この記事が含まれる特集

【特集】マーケ担当者が知っておきたい法律知識

【特集】マーケ担当者が知っておきたい法律知識

マーケティング業務において必要な法律知識を、専門家の視点で解説します