2018年 2月

企業のITセキュリティ講座

GDPRって何? 日本の企業への影響は?

ライター/吉澤亨史

EUにおける個人情報保護法「GDPR」が、2018年5月から施行される。これまでEU圏の国ごとに存在していた個人情報保護法が一本化されるわけだが、日本の企業でもEAA圏内に居住する個人の情報を扱う場合には、GDPRに準拠する必要がある。ここでは、GDPRの概要と注意すべき点、そして日本企業が対応すべきことを紹介する。

GDPRは、欧州版「個人情報保護法」のようなもの

日本では、「改正個人情報保護法(個人情報の保護に関する法律)」が2017年5月に施行されたが、ヨーロッパでは「GDPR」が2018年5月25日から施行される。GDPRは「General Data Protection Regulation」の略で、日本語では「一般データ保護規則」と呼ばれている。EU(欧州連合:注1)が主体となり、主に「個人データ」の「処理」と「移転」について定めた法律だ。

現在は、EU加盟国がそれぞれEUの設立前から存在している個人情報保護法を使用しており、内容や解釈、罰則などが国によって異なる状況になっている。GDPRはこれらを統一することで、EUおよびEEA(欧州経済領域:EU加盟国にノルウェー、アイスランド、リヒテンシュタインを含める)内での個人情報のやり取りを容易にするとともに厳格に保護し、域外(EEA外)に出て行く個人情報の安全を担保することを目的としている。

GDPRでは、「個人データ」を名前や住所、識別番号、職業上のメールアドレス、オンライン識別子(IPアドレスやクッキー識別子)、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因と規定しており、日本の個人情報保護法よりも対象が広くなる。また、人種・種族的出身、政治的見解、宗教また哲学的信念、労働組合の組合員たる地位、遺伝子データ、生体データ、健康または性生活および性的嗜好(しこう)を表す個人データは「特別カテゴリーの個人データ(センシティブデータ)」とされ、企業は処理することができない。

なお、個人データに該当する個人を「データ主体」と呼び、個人データの処理の目的と手段を決定する会社などを「管理者」、管理者を代行して個人データの処理を行う会社などを「処理者」と呼ぶ。GDPRは、「EUのデータ主体に対し商品またはサービスを提供する」あるいは「EUのデータ主体の行動を監視する」場合に、管理者または処理者に対して適用される。この際、EU外で設立された管理者や処理者であっても対象となる。

  • (注1)EU加盟国
    ベルギー、ブルガリア、チェコ、デンマーク、ドイツ(加盟時西ドイツ)、エストニア、アイルランド、ギリシャ、スペイン、フランス、クロアチア、イタリア、キプロス、ラトビア、リトアニア、ルクセンブルク、ハンガリー、マルタ、オランダ、オーストリア、ポーランド、ポルトガル、ルーマニア、スロベニア、スロバキア、フィンランド、スウェーデン、英国

外務省サイトより

目次へ戻る

GDPRで注意すべきポイント

GDPRはEUの法律であるため、EU域内に支社や支店、営業所を置いている日本企業は対応する必要がある。また、前述の「EUのデータ主体に対し商品またはサービスを提供する」あるいは「EUのデータ主体の行動を監視する」場合にも注意が必要だ。ここでいう行動の監視とは、特に個人の意思決定を収集するため、あるいは個人の嗜好、行動、態度を分析または予測するために、インターネット上で消費者を追跡し、プロファイリングすることを意味している。

つまり、たとえEU域内に支社や支店などがなかったとしても、EU域内の消費者に対して日本から商品やサービスを提供している場合、その企業は個人データの取得や処理に当たりGDPRに沿った手続きを実施する必要がある。これは、日本にあるWebサイトでEUに在住する消費者に対して商品やサービスを販売する企業も同様となる。

さらに、データセンター事業者やクラウドベンダーなどのように、EU域内の企業から個人データの処理などを受託している日本企業の場合、その受託企業は「処理者」として、個人データの域外移転に関してGDPRが定めるルールに準拠する必要がある。域外移転とは、EU域内に在住する消費者の個人データを、EUおよびEEA以外の地域に持ち出すことを指す。

個人データの域外移転は原則として禁止されており、域外移転が可能なのは、EUがデータの保護措置が「十分なレベル」にある(十分性がある)と認めた国のみとなっている。十分性があると認められている国は、アンドラ、アルゼンチン、カナダ(民間部門)、フェロー諸島、ガーンジー島、イスラエル、マン島、ジャージー島、ニュージーランド、スイス、ウルグアイなどとなっている。

米国は「米国プライバシーシールド」により十分性が担保されている。残念ながら、日本は十分性があるとは認められていない。そのため、日本へEUの個人データを域外移転するためには、「BCR(Binding Corporate Rules:拘束的企業準則)」あるいは「SDPC(Standard Data Protection Clauses:標準データ保護条項)」といった方法を利用しなければならない。

GDPRの影響を受ける日本企業

影響を受ける企業実施する手続き
EUに子会社、支店、営業所を有している企業EU域内に所在地がある当該子会社などにとってGDPRは直接の適用対象であり、当該企業は日本に本社を有している場合でも、管理者としてGDPRへの対応が必要となります。
日本からEUに商品やサービスを提供している企業EU域内の個人(消費者)に対して日本から商品やサービスを提供している場合、たとえEU域内に子会社などがなかったとしても、当該企業は個人データの取得や処理に当たりGDPRに沿った手続きを実施する。
EUから個人データの処理について委託を受けている企業データセンター事業者やクラウドベンダーなどのように、EU域内の企業から個人データの処理などを受託している日本企業の場合、当該受託企業は処理者 (Processor) として個人データの域外移転に関してGDPRが定めるルールに準拠する必要があります。

目次へ戻る

日本企業が行うべき対策

GDPRでは、従来のEU各国の個人情報保護法よりも、違反時の制裁金が高額であることも特徴となっている。制裁金は2種類あり、例えば「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」は、企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方となる。また、「適法に個人データを処理しなかった場合」や「個人データの移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方となっている。2000万ユーロは、日本円に換算すると26億円にもなるので注意が必要だ。

GDPRにおける制裁金

制裁金義務
企業が右記に当てはまる場合、企業の全世界年間売上高の2%以下または1000万ユーロ以下のいずれか高い方(第83条(4))GDPR要件を満たすために最適な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第25条、第28条)
義務があるのにEU代表者を選任しない場合(第27条)
責任に基づいて処理行為の記録を保持しない場合(第30条)
リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第32条)
DPOを選任しなかった場合、またはその職や役務を尊重しなかった場合(第37から39条)
企業が右記に当てはまる場合、企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方(第83条(5))データ処理に関する原則を遵守しなかった場合(第5条)
適法に個人データを処理しなかった場合(第6条)
同意の条件を遵守しなかった場合(第7条)
特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
個人データの移転の条件に従わなかった場合(第44から49条)

くり返しになるが、「EUに子会社、支店、営業所を有している企業」「日本からEUに商品やサービスを提供している企業」「EUから個人データの処理について委託を受けている企業」は、GDPRへの対応を考えなければならない。まずは自社がこれらに該当するかどうかを判断するべきであろう。また、自社が運営するショッピングサイトの利用者にEU域内の消費者がいるかどうかも確認すべきである。

中小規模企業の場合は、最低でも100万ドル以上かかるといわれるGDPRプロジェクトを実行することは困難と思われる。もしEU域内に支社や支店などがなく、EU域内の個人情報をショッピングサイトなどのみで入手している場合は、個人データを廃棄するか、「匿名化」によって個人データではなくしてしまう方法もある。匿名化は、データの中から個人を特定できる情報を削除する方法で、この場合は複数のデータから個人情報を推測できる可能性も排除する必要がある。基本的に日本の改正個人情報保護法と同様だ。

さらに、GDPRへの対応には「アセスメント」「方針検討」「実装」「運用」の四つのフェーズが必要とされている。アセスメントは、個人情報の特定や対象の法令の整理などのこと。方針検討は、管理体制の強化や個人データ利用業務の見直し、システムソリューションの導入・更改といったこと。実装は、個人情報保護対応強化策の実装と各国への展開。運用は、その後の運用のことだ。

ただし現状として、GDPRへの対応は世界的に見ても遅れている。また、英国のEU離脱がGDPRにどのような影響を与えるかも明確にされていない。2018年5月の施行まで半年を切っているが、まだ修正が加えられる可能性もある。施行とともに全ての対応が求められているわけでもないので、まずは自社が該当するかどうか、そしてEU域内の個人情報の保有状況などを確認し、域外移転の準備をするか、廃棄や匿名化するかなどの判断をし、準備を進めるべきであろう。

目次へ戻る