イベントレポート
Internet Week 2016
不明点の多いEUの「一般データ保護規則(GDPR)」、日本の企業はどう対応すべきか
2016年12月15日 06:00
東京・浅草橋で行われた「Internet Week 2016」において11月29日、「第16回日本インターネットガバナンス会議(IGCJ)」が開催された。今回のテーマは「情報の自由な流通とデータプライバシー」。「データローカライゼーション」と「データプライバシー」に関する世界動向が、日本の企業やインターネットにどのように影響するのか。2018年5月から本格的に適用が開始されるものの不明な点が多い、EUの「一般データ保護規則(GDPR:General Data Protection Regulation)」の話題などもあり、会場は満席となった。
講師を務めたのは、ヤフー株式会社コーポレート統括本部政策企画本部の望月健太氏。今回はディスカッションすることが目的のため、特に実務的視点からの情報提供に主眼を置いたとのことである。冒頭で、「弊社は国内で事業展開を行っており、諸外国のデータローカライゼーション要求やGDPRに直接影響を受けるわけではないが、とりわけGDPRはさまざまな観点から日本にも影響があると考えられるため注視している」と述べたあと、「データローカライゼーション」と「データプライバシー」の説明を開始した。今回は特に、GDPRに焦点を当ててレポートする。
GDPRの動向は、ビジネスに影響を及ぼすものである
なぜ、この問題が重要なのか? それは、世界を相手にビジネスをする上で重要なばかりでなく、GDPRの域外適用の可能性や、執行および制裁の強化といった点で多くの不明点があり、場合によっては大きなダメージを受ける可能性を排除できないからである。
例えば、EU域内に支店なり営業所を作って現地の人を従業員として雇い入れしたとしよう。このとき、この従業員の個人データをEUが認める保護措置をとらずに日本のデータベースに登録するとGDPR違反となり、制裁の対象となるかもしれないのである。経営層や法務部門は、従業員採用時の包括契約で何とかなるのではないかと考えるかもしれないが、それではアウトになるという。同意に基づいてEU域外への個人データの移転を行おうとする場合には、個人データをEU域外へ移転することにつき具体的かつ十分な説明を受けた上で従業員個人が自由意思に基づいて明確に移転に同意したということを証明できる証拠を残す必要がある。
GDPRは、EU域内に所在する人々(主体)の個人データの保護に焦点を当てたものである。対象となるものは、個人データおよび個人データの処理であり、企業などの法人データや死者のデータ、完全に匿名化されたデータなどは対象外となる。GDPRの適用対象となるのは、EU域内に拠点(establishment)を有し個人データを扱う「情報管理者(controller)」と「情報処理者(processor)」である。しかし、EU域内に拠点を有していない場合であっても、EU域内の人々に商品やサービスを提供する、もしくは行動を監視するような行為をする場合にはGDPRの適用対象となる。このあたり、具体的な線引きがどうなるか、経営層や法務部門はおおいに気になるのではないだろうか。
GDPRで注意すべき3つのポイント
GDPRとは、1995年10月24日に採択され、1998年10月25日に発効した「データ保護指令(Data Protection Directive)」に代わるEUの個人情報保護制度である。「一般データ保護規則(GDPR)」と呼ばれるこの規則は、2016年4月27日に採択され、2018年5月25日からすべてのEU加盟国に直接かつ一律に適用されることになる(EU加盟国に直接適用されず各国国内法に落とし込む必要があるデータ保護指令とは異なり、GDPRはEU加盟国による国内法の制定を要することなく直接適用される)。
GDPRで注意すべきは、以下で示す図にあるように、「適用範囲の拡大に伴う域外適用の可能性」「執行および制裁の強化」そして「個人データのEU域外への移転に関する選択肢」の3つであるという。
適用範囲の拡大に伴う域外適用の可能性が重要なのは、GDPRの適用対象がEU域内に限定されず、事業者が世界中のどこにいても適用対象となる可能性が出てくるからである。前述のように、ある事業者がEU域内に拠点を有していない場合であっても、EU域内の人々に商品やサービスを提供する、もしくは行動を監視するような行為をする場合にはGDPRの適用対象となる。これにより、EU域内に所在する主体の個人データの処理活動がなされた場合、EU域内と何ら物理的つながり(拠点など)が無くともGDPRが適用されうることになる。
もっとも、域外適用に関する規定が存在しなかったデータ保護指令の下でも、域外適用に近い運用がなされていたことには注意が必要である。これについては、具体的な事例として、Googleスペインに関連した欧州司法裁判所の判決が挙げられる。この裁判は「忘れられる権利」として話題になったことから、覚えている読者の方も多いであろう。詳細はここでは省くが、以下の図にあるように、Googleスペインが、スペインの広告市場に対する橋渡しとして活動していることをもって(つまり自らはデータの処理を行わずとも)、「Googleスペインはデータ保護指令第4条1項(a)の拠点に該当する」と判断されたのである。
また、GDPR下では非常に広範な執行権限が監視当局に付与される。データ保護指令においては最低限の権限しか規定されておらず、詳細な執行権限はそれぞれのEU加盟国に委ねられていた。しかし、GDPR下では、監視当局の執行権限が詳細に規定され、さらに高額な上限を有する課徴金を含む制裁の面が強化されている。
個人データのEU域外への移転に関する選択肢では、いわゆる「十分性認定」の有無が大きな意味を持つ。欧州委員会が(個人データの域外移転に関し)十分な保護のレベルを有するとみなした国以外への個人データの域外移転を原則禁止とするからである。しかし、十分性認定を受けた国はわずかであり、米国も日本も、その中には入っていない(もっとも、EU・米国間においては、2016年8月1日から、「プライバシーシールド」と呼ばれる枠組みが開始されており、この枠組みの下1年ごとの自己認証を行った米国企業は、EU域内からの個人データの持ち出しを行うことが可能となっているとのことだ)。
では、十分性認定を受けていない国への個人データの域外移転はどうしたらよいのだろうか。これについては、EUが求める個人データの保護のレベルを満たしているという個別具体的な契約を当事者間で結ぶという「標準契約条項(SCC)」や同一企業グループ内での個人データの移転に関する社内規則を策定するという「拘束的企業準則(BCR)」という正当化事由がデータ保護指令から存在しているが、GDPRではこれらの運用が明確化・効率化されるのみならず、業界団体等がGDPRの遵守を目的として策定する「行動規範(Code of Conduct)」や、「認証(Certification)」といった正当化事由も追加されている。そちらを参照するのがよいだろう。
日本企業が持つべき視点
これまでの説明で明らかなのは、GDRPに関して言えば、まだまだ不明点が数多くあるということである。望月氏は、日本企業としてどのような視点を持つべきかという点に関して、改めて以下のように述べた(この内容は、望月氏の使用したスライドに記載してあるものだが、重要なのでそのまま紹介する)。
- 事業者は、まず自らの事業活動と個人データの越境移転の態様を詳細に確認した上で、GDPRの適用対象となるかを確認する必要がある(そのためにも、積極的に国内外で情報収集とネットワーキングを行うべき)。
- 適用対象となる場合、日本はEUから十分性認定を受けた国ではないため、GDPRに基づく正当化事由(拘束的企業準則(BCR)、標準契約条項(SCC)に加え、今後は行動規範(Code of Conduct)、認証(Certification)も選択肢になる)のどれを使うかを検討する必要がある。逸脱条項(同意や契約の履行に必要等)の利用は、最後の手段とすべきである。
- 実際に正当化事由を使う場合には、この分野に精通した法律事務所を使う必要がある。ただし、どのような事業活動を行っているかは事業者自身が一番よく分かっている訳であり、丸投げしないこと。
- なお、英国に主要な拠点を有する事業者は、Brexit(英国のEU離脱)に関する最新動向もしっかりと把握しておく必要がある。
- フランスの動向についても注意が必要である。GDPRの範囲を超えて、さらに貿易協定で規制を強めようとするフランスの大臣の発言などがある。
さまざまな意見、そして戸惑いが垣間見えたディスカッション
望月氏の説明のあと、会場からは戸惑いを含みつつ、さまざまな意見が出ることとなった。一例を挙げると、「ヨーロッパの情報を日本で取ってもGDPRの対象になるのか?」「営利活動をしていることが条件になるのか?」「データの域外移転の話なのか、データそのものの扱いの話なのか?」「制裁の実際は、どのようなものになるのか?」「懲罰的な制裁はあるのか?」といった具合である。
それらに対する回答は、「おそらくそうであろう」「そうなると考えられる」といった曖昧さを含むものであったが、今後GDPRに関する詳細なガイドラインが発行される予定となっており、それぞれに個別具体的な判断が必要となることから致し方ないとも感じた。今回使用した資料は、IGCJのサイトから見ることができる。ぜひ、参照してみていただきたい。繰り返しを含むが、この問題に対する望月氏の主張は、おおむね次のようなものであったと言えるであろう。
事業者は、自らの事業活動と個人データの越境移転の態様を詳細に確認した上で、GDPRの適用対象となるかを確認する必要がある。適用対象となる場合、EU域内から個人データを持ち出す先の国(EU域外の第三国)がEUから十分性認定を受けているかを確認する必要があり、そうでなければGDPRに基づく越境データ移転に関する正当化事由のどれを使うかを検討する必要がある。「同意」を含む逸脱条項の利用については最後の手段とすべきである。
グローバルでオープンなインターネットの世界では、どこから顧客が来るのかということを考えてみていただきたい。自国内だけを意図したサービスであっても、使用言語や決済通貨、連絡先の記載方法等、そのサービス内容によってはEU域内の人々に向けられたものとみなされ、GDPRの適用対象とされるかもしれないのである。
GDPRは、規制を厳しくしつつも逃げ道が用意されている。もし、少しでもEU域内の人々の個人情報を扱う可能性があるならば、きちんとGDPRに備えていただきたい。