Photo by Alesia Kaz on Unsplash
2018年5月にEUで施行されたGDPR(EU一般データ保護規則)について、個人情報保護法との共通点や違いを解説。GDPRが日本に与える影響や、日本企業が対応すべきポイントもあわせてみていこう。
ELEMINIST Editor
エレミニスト編集部
日本をはじめ、世界中から厳選された最新のサステナブルな情報をエレミニスト独自の目線からお届けします。エシカル&ミニマルな暮らしと消費、サステナブルな生き方をガイドします。
知識をもって体験することで地球を変える|ELEMINIST Followersのビーチクリーンレポート
Photo by Christina @ wocintechchat.com on Unsplash
GDPR(EU一般データ保護規則)とは、General Data Protection Regulationの略で、個人情報とプライバシー保護の強化を目的とした法令のこと。EU(欧州連合)とアイスランドやノルウェー、リヒテンシュタインを含む欧州経済領域(EEA)で2018年5月25日から適用がスタートした。
1993年に誕生したEUでは、個人情報保護について、それぞれの加盟国に独自の法律があった。それらの違いを埋めるために、「EUデータ保護指令」を1995年に採択し、各国に法制度の共通化を求めた。個人情報保護に対する意識を統一させたものの、"法制化を求める"に留まったため、EU加盟国に"直接効力を持つもの"としてGDPRが登場。EUデータ保護指令より厳格な内容になっている。
GDPR を一言で説明すると、「個人データ」の「処理」と「移転」に関する法。EEA域内で取得した個人データを処理し、EEA域外の第三国に移転するためには満たすべき法的な要件がある、と規定している(※1)。
EEA域内でビジネスを行い、個人データを取得する組織や、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。そのため、日本企業や日本の公的機関に対しても適用される可能性があり、規則に違反した場合には多額の制裁金が課せられる場合もあるので注意したい。
Photo by Markus Spiske on Unsplash
GDPRでは、「個人データの処理」の規制がポイントとなる。データの主体者(個人)の権利とデータの管理・処理者の義務が以下のように定められている。
【データ主体(個人)の権利】
・管理者に個人データの管理の状態を確認することができ、当該情報にアクセスする権利を有する
・不正確な自己の個人データに関する訂正を管理者に求める権利を有する
・個人データが不適法に取り扱われた場合などに削除を管理者に求めることができる
・管理者に対して一定の場合に個人データ処理を制限する権利を有する
・自分に係わる個人データを、機械によって読み取り可能な形式で受け取る権利を有する
【企業や組織の主な義務】
・上記のデータ主体の権利について、遵守を証明できなければならない
・個人データは、明確に特定された正当な目的外での利用はできない
・個人データの処理に関して本人の明確な同意を得なければならない
・利⽤⽬的や取扱いの法的根拠をユーザーに通知しなければならない
・データの取扱いについて都度、記録する義務を有する
・個人データの処理目的のために必要な期間が過ぎた場合、データを破棄しなければならない
・個人データ侵害が発生した場合、72時間以内に所定の監督機関に通知を行わなければならない
・EEA域内で取得した個人データをEEA域外の第三国に移転することはできない
Photo by rupixen.com on Unsplash
GDPRが定義する個人データは次のとおり。
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
個人情報保護委員会「一般データ保護規則(GDPR)の条文」・氏名
・所在地データ
・識別番号
・メールアドレス
・オンライン識別子(IPアドレス、Cookie)
・パスポート番号
・クレジットカード番号
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
単体で個人を識別できるものだけでなく、組み合わせることで個人を識別できるデータなども対象となる。制定当初の日本の個人情報保護法とは異なり、IPアドレスやCookieなども含まれている点が大きな特徴と言えるだろう。
GDPRに違反した場合は、監督機関によって制裁金の賦課、開示や監査といった調査、遵守命令、データ主体に周知させる命令、認証の撤回、警告といった罰則が課せられる。重い罰則である制裁金には以下2つの上限金額が定められており、違反内容によってそれぞれ適用される(※1)。
①1000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額2%以下のいずれか高い方
②2000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額4%以下のいずれか高い方
Photo by shuken nakamura on Unsplash
GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。また、EU居住者の個人データを収集・処理する組織はEU域外に活動拠点を置いていてもGDPRの適用対象となる。
GDPR第1章の第3条「地理的適用範囲」では、次のように定められている。
「本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。」
つまり、GDPRの適用範囲はEU圏内に所在する組織に加え、EUと取引のあるすべての組織が対象となるため、日本企業にも大きく関係する法律なのである。
グローバルなネット通販を行っている企業の場合、店舗やサーバーが日本国内に設置されていたとしても、EU域内に居住している購入者の個人データを取り扱っている場合は、GDPRに対応する必要がある。
EU域内に営業所や子会社、支店を持つ企業は、現地法人の従業員や顧客の個人データをGDPRの原則に基づいて適切に扱わなければならない。
企業がEU域内にサーバーを保有し、自社サービスでユーザーの個人情報を扱っている場合、GDPRに対応しなければならない。
短期出張等でEEA域内に所在する日本人の個人データや、日本企業からEU域内に出向した従業員の情報も、GDPRの個人データの対象になる。
例えば、EU域内の企業が運営するネット通販の商品の配送を日本の配送業者が委託された場合も、氏名や住所、電話番号を提供するためGDPRの対象となる。
上記のように、GDPRはEU域内の法律であるものの、条件しだいではその影響が世界各国におよぶ。EEA域外への個人データの移転は原則として違法であるし、行う場合には、グループ企業内に限り国内外へのデータ移行の許可を取る方法や、データの輸出業者と輸入業者が特別な契約を結び適法とみなされる方法、データ提供者に個別で許可を取る方法など、一定のフローが必要となる。いずれもかなりの労力を必要とする。
しかし、GDPRでは相互に"個人データの移転を行うことができるだけの十分なデータ保護の水準を持つ"と認める国や地域に"十分性認定"を行っており、認定された地域へはEU域内から円滑に個人データの移転ができる。
日本は2019年1月23日にアジア初の"十分性認定"を受けた。これにより、企業は個別の契約を結ぶなど煩雑な手続き不要で、EU域内の事業者から個人データの移転を受けることが可能となった。また、「個人情報保護法」においてもEUを「同等の水準にあると認められる個人情報の保護に関する制度を有している外国(国または地域)」と指定しており、両者間での自由な個人データ流通が可能となっている。
Photo by Tingey Injury Law Firm on Unsplash
2018年5月にGDPRが適用されてから、世界中で多くの企業が制裁金を課せられている。日本では、大手システムインテグレーション企業であるNTTデータのスペイン子会社がGDPRに違反したとして、6万4000ユーロの制裁金を科された事例がある。
NTTデータスペインの顧客である保険会社が顧客情報の漏洩問題を受け、スペインのデータ保護庁(AEPD)が約1年かけて調査した結果、保険会社に顧客管理システムを提供していたNTTデータスペイン側にも過失があったことがわかったのだ。
調査の対象となったのは、データ保護の基本原則(GDPR第5条)やデータ処理のセキュリティ要件、データ侵害発生時の報告義務、データ侵害により影響を受けるデータ主体への通知義務(GDPR第32~34条)に対する違反。調査結果により、必要最低限の技術的措置を実施していなかった、データ処理の完全性と機密性に違反があったと判断した。
Photo by Samson on Unsplash
相互に"同等の水準を有する個人情報を保護する法律"と認めている日本の「個人情報保護法」とEUのGDPRであるが、内容にはやや相違点もある。2つの違いと共通点をみていこう。
個人情報保護法とは、国の行政機関や公的団体、民間企業など、個人の情報を取り扱うすべての事業者や組織が守るべき法律のこと。インターネットの普及やデジタル技術の進展、グローバル化などにより、個人の権利利益が侵害される危険性が高まったことなどを受け、2003年5月に公布され、2005年4月に全面施行された。
個人情報の適切な利用を促しつつも、個人の権利利益を保護することで、個人情報などの保護の対象となる情報の定義や、各情報を利用する際のルールを規定している。
2022年4月の改正法では、情報漏洩時の報告・通知義務化や第三者提供にあたっての本人同意が得られていること等の確認の義務付けなど、より厳格なものへと改正されている。
世界においてもとくに厳格だとされるGDPR。個人情報保護法も度重なる改正によって適用範囲が広がり、共通点も多くなっている。とくに2022年の改正では、これまで保護対象外であった。IPアドレスやCookieなどのオンライン識別子もIDとの連携で個人情報が特定される可能性があることなどから、保護対象となっている。
そのほかの内容では、EU内代理人の選定義務や違反時の罰則で課せられる制裁金の上限の大きさなどにGDPRと個人情報保護法の違いがみられる。
個人情報保護法 | GDPR | |
---|---|---|
対象者 | 日本国内の企業・団体・自治体・行政機関など (2022年改正により日本国在住者の個人情報などを扱う外国企業外国企業も罰則対象に。海外の第三者企業に情報提供を行う場合は本人への情報提供の義務化) | EU居住者、EUに拠点を持つ企業・団体、EU居住者の情報を扱う企業・団体 |
保護対象 | 氏名、生年月日、住所、顔写真など特定の個人を識別できる情報(改正により電話番号、指紋・顔、パスポート、運転免許証などの個人識別符号なども順次対象に) | 識別可能な自然人 |
メールアドレス | ○ | ○ |
位置情報 | ×→○ 2022年改正で適用 | ○ |
IPアドレス | ×→○ 2022年改正で適用 | ○ |
Cookie | ×→○ 2022年改正で適用 | ○ |
個人データ漏洩時の対応 | 個人条保護委員会へ報告、本人への通知(2022年法改正で努力義務から義務へ) | 72時間以内に管轄監督機関に通知 |
EU域内の代理人 | 規定なし | EU域内に拠点を持たない企業は代理人の選任義務あり |
違反時の罰則 | ・措置違反で1年以下の懲役もしくは100万円以下の罰金 ・報告義務違反は50万円以下の罰金 ・個人に対する罰則はデータベースの不正利用で1年以下の懲役あるいは50万円以下の罰金 ・法人は措置命令違反とデータベースなどの不正利用で1億円以下の罰金、報告義務違反で50万円以下の罰金 | ・1000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額2%以下のいずれか高い方 ・2000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額4%以下のいずれか高い方 |
GDPRは、基本的にはEU領域内で適用されるものである一方で、日本にも関係のある法律だ。GDPRに違反すると多額の制裁金を科せられる場合もあり、実際にGDPRに違反した日本企業も存在する。これらは企業の経営に大きな打撃を与える可能性が高いため、注意が必要だ。いま一度、GDPRがどのようなものなのか、その内容への理解を深め、企業としての留意点や対策を考えていく必要がある。
参考URL:
・個人情報保護委員会|日EU間・日英間のデータ越境移転について
・政府広報オンライン|「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?
・HITACHI|GDPR(EU一般データ保護規則)とは?日本企業が対応すべきポイントを考える
・日経クロステック|NTTデータのスペイン子会社がGDPR違反、取引先による情報漏洩で制裁金
・東京都|個人情報保護法の概要
・Priv Lab|【2022年 日本初事例も】GDPRに違反するリスクとは?ICOが企業に制裁金を科した事例
・Priv Lab|【2022年】GDPR違反による日本企業初の制裁金事例を解説!~概要から違反の内容まで~
・一般財団法人 日本情報経済社会推進協会|十分性認定に関する補完的ルールへの対応について
・個人情報保護委員会|個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU)
・NTTコム オンライン|個人情報保護法の改正によってCookieが規制対象に
・個人情報保護委員会|GDPRの概要と十分性認定について
ELEMINIST Recommends