GDPRとは？　個人情報保護法との違いや日本企業が注意すべき点

GDPR（EU一般データ保護規則）とは

GDPR（EU一般データ保護規則）とは、General Data Protection Regulationの略で、個人情報とプライバシー保護の強化を目的とした法令のこと。EU（欧州連合）とアイスランドやノルウェー、リヒテンシュタインを含む欧州経済領域（EEA）で2018年５月25日から適用がスタートした。

1993年に誕生したEUでは、個人情報保護について、それぞれの加盟国に独自の法律があった。それらの違いを埋めるために、「EUデータ保護指令」を1995年に採択し、各国に法制度の共通化を求めた。個人情報保護に対する意識を統一させたものの、"法制化を求める"に留まったため、EU加盟国に"直接効力を持つもの"としてGDPRが登場。EUデータ保護指令より厳格な内容になっている。

GDPR を一言で説明すると、「個人データ」の「処理」と「移転」に関する法。EEA域内で取得した個人データを処理し、EEA域外の第三国に移転するためには満たすべき法的な要件がある、と規定している（※１）。

EEA域内でビジネスを行い、個人データを取得する組織や、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。そのため、日本企業や日本の公的機関に対しても適用される可能性があり、規則に違反した場合には多額の制裁金が課せられる場合もあるので注意したい。

GDPRで抑えておきたい規制内容

GDPRでは、「個人データの処理」の規制がポイントとなる。データの主体者（個人）の権利とデータの管理・処理者の義務が以下のように定められている。

【データ主体（個人）の権利】
・管理者に個人データの管理の状態を確認することができ、当該情報にアクセスする権利を有する
・不正確な自己の個人データに関する訂正を管理者に求める権利を有する
・個人データが不適法に取り扱われた場合などに削除を管理者に求めることができる
・管理者に対して一定の場合に個人データ処理を制限する権利を有する
・自分に係わる個人データを、機械によって読み取り可能な形式で受け取る権利を有する

【企業や組織の主な義務】
・上記のデータ主体の権利について、遵守を証明できなければならない
・個人データは、明確に特定された正当な目的外での利用はできない
・個人データの処理に関して本人の明確な同意を得なければならない
・利⽤⽬的や取扱いの法的根拠をユーザーに通知しなければならない
・データの取扱いについて都度、記録する義務を有する
・個人データの処理目的のために必要な期間が過ぎた場合、データを破棄しなければならない
・個人データ侵害が発生した場合、72時間以内に所定の監督機関に通知を行わなければならない
・EEA域内で取得した個人データをEEA域外の第三国に移転することはできない

GDPRが定義する「個人データ」とは

GDPRが定義する個人データは次のとおり。

・氏名
・所在地データ
・識別番号
・メールアドレス
・オンライン識別子（IPアドレス、Cookie）
・パスポート番号
・クレジットカード番号
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

単体で個人を識別できるものだけでなく、組み合わせることで個人を識別できるデータなども対象となる。制定当初の日本の個人情報保護法とは異なり、IPアドレスやCookieなども含まれている点が大きな特徴と言えるだろう。

GDPRに違反した場合の罰則

GDPRに違反した場合は、監督機関によって制裁金の賦課、開示や監査といった調査、遵守命令、データ主体に周知させる命令、認証の撤回、警告といった罰則が課せられる。重い罰則である制裁金には以下２つの上限金額が定められており、違反内容によってそれぞれ適用される（※１）。

①1000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額２％以下のいずれか高い方

②2000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額４％以下のいずれか高い方

GDPRの日本企業への影響とは

GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。また、EU居住者の個人データを収集・処理する組織はEU域外に活動拠点を置いていてもGDPRの適用対象となる。

GDPR第１章の第３条「地理的適用範囲」では、次のように定められている。
「本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。」

つまり、GDPRの適用範囲はEU圏内に所在する組織に加え、EUと取引のあるすべての組織が対象となるため、日本企業にも大きく関係する法律なのである。

日本企業がGDPRに対応すべきケース

例１｜EU域内に商品やサービスを販売・提供している企業

グローバルなネット通販を行っている企業の場合、店舗やサーバーが日本国内に設置されていたとしても、EU域内に居住している購入者の個人データを取り扱っている場合は、GDPRに対応する必要がある。

例２｜EU域内に営業所や子会社を保有している企業

EU域内に営業所や子会社、支店を持つ企業は、現地法人の従業員や顧客の個人データをGDPRの原則に基づいて適切に扱わなければならない。

例３｜EU域内に個人情報を扱うサーバー等を保有している企業

企業がEU域内にサーバーを保有し、自社サービスでユーザーの個人情報を扱っている場合、GDPRに対応しなければならない。

例４｜出向や短期出張等でEU域内に従業員を派遣する企業

短期出張等でEEA域内に所在する日本人の個人データや、日本企業からEU域内に出向した従業員の情報も、GDPRの個人データの対象になる。

例５｜EU域内の企業や組織から個人データの扱いの委託を受けている企業

例えば、EU域内の企業が運営するネット通販の商品の配送を日本の配送業者が委託された場合も、氏名や住所、電話番号を提供するためGDPRの対象となる。

GDPRの”十分性認定”を受けた日本のメリット

上記のように、GDPRはEU域内の法律であるものの、条件しだいではその影響が世界各国におよぶ。EEA域外への個人データの移転は原則として違法であるし、行う場合には、グループ企業内に限り国内外へのデータ移行の許可を取る方法や、データの輸出業者と輸入業者が特別な契約を結び適法とみなされる方法、データ提供者に個別で許可を取る方法など、一定のフローが必要となる。いずれもかなりの労力を必要とする。

しかし、GDPRでは相互に"個人データの移転を行うことができるだけの十分なデータ保護の水準を持つ"と認める国や地域に"十分性認定"を行っており、認定された地域へはEU域内から円滑に個人データの移転ができる。

日本は2019年１月23日にアジア初の"十分性認定"を受けた。これにより、企業は個別の契約を結ぶなど煩雑な手続き不要で、EU域内の事業者から個人データの移転を受けることが可能となった。また、「個人情報保護法」においてもEUを「同等の水準にあると認められる個人情報の保護に関する制度を有している外国（国または地域）」と指定しており、両者間での自由な個人データ流通が可能となっている。

日本企業のGDPR違反の例

2018年５月にGDPRが適用されてから、世界中で多くの企業が制裁金を課せられている。日本では、大手システムインテグレーション企業であるNTTデータのスペイン子会社がGDPRに違反したとして、６万4000ユーロの制裁金を科された事例がある。

NTTデータスペインの顧客である保険会社が顧客情報の漏洩問題を受け、スペインのデータ保護庁（AEPD）が約１年かけて調査した結果、保険会社に顧客管理システムを提供していたNTTデータスペイン側にも過失があったことがわかったのだ。

調査の対象となったのは、データ保護の基本原則（GDPR第５条）やデータ処理のセキュリティ要件、データ侵害発生時の報告義務、データ侵害により影響を受けるデータ主体への通知義務（GDPR第32～34条）に対する違反。調査結果により、必要最低限の技術的措置を実施していなかった、データ処理の完全性と機密性に違反があったと判断した。

GDPRと日本の「個人情報保護法」の違いと共通点

相互に"同等の水準を有する個人情報を保護する法律"と認めている日本の「個人情報保護法」とEUのGDPRであるが、内容にはやや相違点もある。２つの違いと共通点をみていこう。

日本の「個人情報保護法」とは

個人情報保護法とは、国の行政機関や公的団体、民間企業など、個人の情報を取り扱うすべての事業者や組織が守るべき法律のこと。インターネットの普及やデジタル技術の進展、グローバル化などにより、個人の権利利益が侵害される危険性が高まったことなどを受け、2003年５月に公布され、2005年４月に全面施行された。

個人情報の適切な利用を促しつつも、個人の権利利益を保護することで、個人情報などの保護の対象となる情報の定義や、各情報を利用する際のルールを規定している。

2022年４月の改正法では、情報漏洩時の報告・通知義務化や第三者提供にあたっての本人同意が得られていること等の確認の義務付けなど、より厳格なものへと改正されている。

GDPRと個人情報保護法の共通点と違い

世界においてもとくに厳格だとされるGDPR。個人情報保護法も度重なる改正によって適用範囲が広がり、共通点も多くなっている。とくに2022年の改正では、これまで保護対象外であった。IPアドレスやCookieなどのオンライン識別子もIDとの連携で個人情報が特定される可能性があることなどから、保護対象となっている。

そのほかの内容では、EU内代理人の選定義務や違反時の罰則で課せられる制裁金の上限の大きさなどにGDPRと個人情報保護法の違いがみられる。

グローバルな情報社会で軽視できないGDPR

GDPRは、基本的にはEU領域内で適用されるものである一方で、日本にも関係のある法律だ。GDPRに違反すると多額の制裁金を科せられる場合もあり、実際にGDPRに違反した日本企業も存在する。これらは企業の経営に大きな打撃を与える可能性が高いため、注意が必要だ。いま一度、GDPRがどのようなものなのか、その内容への理解を深め、企業としての留意点や対策を考えていく必要がある。

※１　日本貿易振興機構（ジェトロ）｜「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）

参考URL：
・個人情報保護委員会｜日EU間・日英間のデータ越境移転について
・政府広報オンライン｜「個人情報保護法」をわかりやすく解説　個人情報の取扱いルールとは？
・HITACHI｜GDPR（EU一般データ保護規則）とは？日本企業が対応すべきポイントを考える
・日経クロステック｜NTTデータのスペイン子会社がGDPR違反、取引先による情報漏洩で制裁金
・東京都｜個人情報保護法の概要
・Priv Lab｜【2022年 日本初事例も】GDPRに違反するリスクとは？ICOが企業に制裁金を科した事例
・Priv Lab｜【2022年】GDPR違反による日本企業初の制裁金事例を解説！～概要から違反の内容まで～
・一般財団法人 日本情報経済社会推進協会｜十分性認定に関する補完的ルールへの対応について

・個人情報保護委員会｜個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU)
・NTTコム オンライン｜個人情報保護法の改正によってCookieが規制対象に
・個人情報保護委員会｜GDPRの概要と十分性認定について