GDPRとは? 個人情報保護法との違いや日本企業が注意すべき点

GDPR 個人情報保護法 EU 日本

Photo by Alesia Kaz on Unsplash

2018年5月にEUで施行されたGDPR(EU一般データ保護規則)について、個人情報保護法との共通点や違いを解説。GDPRが日本に与える影響や、日本企業が対応すべきポイントもあわせてみていこう。

ELEMINIST Editor

エレミニスト編集部

日本をはじめ、世界中から厳選された最新のサステナブルな情報をエレミニスト独自の目線からお届けします。エシカル&ミニマルな暮らしと消費、サステナブルな生き方をガイドします。

2024.01.13

GDPR(EU一般データ保護規則)とは

GDPR EU一般データ保護規則 EU EEA

Photo by Christina @ wocintechchat.com on Unsplash

GDPR(EU一般データ保護規則)とは、General Data Protection Regulationの略で、個人情報とプライバシー保護の強化を目的とした法令のこと。EU(欧州連合)とアイスランドやノルウェー、リヒテンシュタインを含む欧州経済領域(EEA)で2018年5月25日から適用がスタートした。

1993年に誕生したEUでは、個人情報保護について、それぞれの加盟国に独自の法律があった。それらの違いを埋めるために、「EUデータ保護指令」を1995年に採択し、各国に法制度の共通化を求めた。個人情報保護に対する意識を統一させたものの、"法制化を求める"に留まったため、EU加盟国に"直接効力を持つもの"としてGDPRが登場。EUデータ保護指令より厳格な内容になっている。

GDPR を一言で説明すると、「個人データ」の「処理」と「移転」に関する法。EEA域内で取得した個人データを処理し、EEA域外の第三国に移転するためには満たすべき法的な要件がある、と規定している(※1)。

EEA域内でビジネスを行い、個人データを取得する組織や、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。そのため、日本企業や日本の公的機関に対しても適用される可能性があり、規則に違反した場合には多額の制裁金が課せられる場合もあるので注意したい。

GDPRで抑えておきたい規制内容

注意を促すマーク

Photo by Markus Spiske on Unsplash

GDPRでは、「個人データの処理」の規制がポイントとなる。データの主体者(個人)の権利とデータの管理・処理者の義務が以下のように定められている。

【データ主体(個人)の権利】
・管理者に個人データの管理の状態を確認することができ、当該情報にアクセスする権利を有する
・不正確な自己の個人データに関する訂正を管理者に求める権利を有する
・個人データが不適法に取り扱われた場合などに削除を管理者に求めることができる
・管理者に対して一定の場合に個人データ処理を制限する権利を有する
・自分に係わる個人データを、機械によって読み取り可能な形式で受け取る権利を有する

【企業や組織の主な義務】
・上記のデータ主体の権利について、遵守を証明できなければならない
・個人データは、明確に特定された正当な目的外での利用はできない
・個人データの処理に関して本人の明確な同意を得なければならない
・利⽤⽬的や取扱いの法的根拠をユーザーに通知しなければならない
・データの取扱いについて都度、記録する義務を有する
・個人データの処理目的のために必要な期間が過ぎた場合、データを破棄しなければならない
・個人データ侵害が発生した場合、72時間以内に所定の監督機関に通知を行わなければならない
・EEA域内で取得した個人データをEEA域外の第三国に移転することはできない

GDPRが定義する「個人データ」とは

クレジットカード情報をパソコンに打ち込む様子

Photo by rupixen.com on Unsplash

GDPRが定義する個人データは次のとおり。

(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

個人情報保護委員会「一般データ保護規則(GDPR)の条文」

・氏名
・所在地データ
・識別番号
・メールアドレス
・オンライン識別子(IPアドレス、Cookie)
・パスポート番号
・クレジットカード番号
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因


単体で個人を識別できるものだけでなく、組み合わせることで個人を識別できるデータなども対象となる。制定当初の日本の個人情報保護法とは異なり、IPアドレスやCookieなども含まれている点が大きな特徴と言えるだろう。

GDPRに違反した場合の罰則

GDPRに違反した場合は、監督機関によって制裁金の賦課、開示や監査といった調査、遵守命令、データ主体に周知させる命令、認証の撤回、警告といった罰則が課せられる。重い罰則である制裁金には以下2つの上限金額が定められており、違反内容によってそれぞれ適用される(※1)。

①1000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額2%以下のいずれか高い方

②2000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額4%以下のいずれか高い方

GDPRの日本企業への影響とは

日本のビルがそびえる様子

Photo by shuken nakamura on Unsplash

GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。また、EU居住者の個人データを収集・処理する組織はEU域外に活動拠点を置いていてもGDPRの適用対象となる。

GDPR第1章の第3条「地理的適用範囲」では、次のように定められている。
「本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。」

つまり、GDPRの適用範囲はEU圏内に所在する組織に加え、EUと取引のあるすべての組織が対象となるため、日本企業にも大きく関係する法律なのである。

日本企業がGDPRに対応すべきケース

例1|EU域内に商品やサービスを販売・提供している企業

グローバルなネット通販を行っている企業の場合、店舗やサーバーが日本国内に設置されていたとしても、EU域内に居住している購入者の個人データを取り扱っている場合は、GDPRに対応する必要がある。

例2|EU域内に営業所や子会社を保有している企業

EU域内に営業所や子会社、支店を持つ企業は、現地法人の従業員や顧客の個人データをGDPRの原則に基づいて適切に扱わなければならない。

例3|EU域内に個人情報を扱うサーバー等を保有している企業

企業がEU域内にサーバーを保有し、自社サービスでユーザーの個人情報を扱っている場合、GDPRに対応しなければならない。

例4|出向や短期出張等でEU域内に従業員を派遣する企業

短期出張等でEEA域内に所在する日本人の個人データや、日本企業からEU域内に出向した従業員の情報も、GDPRの個人データの対象になる。

例5|EU域内の企業や組織から個人データの扱いの委託を受けている企業

例えば、EU域内の企業が運営するネット通販の商品の配送を日本の配送業者が委託された場合も、氏名や住所、電話番号を提供するためGDPRの対象となる。

GDPRの”十分性認定”を受けた日本のメリット

上記のように、GDPRはEU域内の法律であるものの、条件しだいではその影響が世界各国におよぶ。EEA域外への個人データの移転は原則として違法であるし、行う場合には、グループ企業内に限り国内外へのデータ移行の許可を取る方法や、データの輸出業者と輸入業者が特別な契約を結び適法とみなされる方法、データ提供者に個別で許可を取る方法など、一定のフローが必要となる。いずれもかなりの労力を必要とする。

しかし、GDPRでは相互に"個人データの移転を行うことができるだけの十分なデータ保護の水準を持つ"と認める国や地域に"十分性認定"を行っており、認定された地域へはEU域内から円滑に個人データの移転ができる。

日本は2019年1月23日にアジア初の"十分性認定"を受けた。これにより、企業は個別の契約を結ぶなど煩雑な手続き不要で、EU域内の事業者から個人データの移転を受けることが可能となった。また、「個人情報保護法」においてもEUを「同等の水準にあると認められる個人情報の保護に関する制度を有している外国(国または地域)」と指定しており、両者間での自由な個人データ流通が可能となっている。

日本企業のGDPR違反の例

判決がくだされる様子

Photo by Tingey Injury Law Firm on Unsplash

2018年5月にGDPRが適用されてから、世界中で多くの企業が制裁金を課せられている。日本では、大手システムインテグレーション企業であるNTTデータのスペイン子会社がGDPRに違反したとして、6万4000ユーロの制裁金を科された事例がある。

NTTデータスペインの顧客である保険会社が顧客情報の漏洩問題を受け、スペインのデータ保護庁(AEPD)が約1年かけて調査した結果、保険会社に顧客管理システムを提供していたNTTデータスペイン側にも過失があったことがわかったのだ。

調査の対象となったのは、データ保護の基本原則(GDPR第5条)やデータ処理のセキュリティ要件、データ侵害発生時の報告義務、データ侵害により影響を受けるデータ主体への通知義務(GDPR第32~34条)に対する違反。調査結果により、必要最低限の技術的措置を実施していなかった、データ処理の完全性と機密性に違反があったと判断した。

GDPRと日本の「個人情報保護法」の違いと共通点

GDPR 個人情報保護法 日本 EU

Photo by Samson on Unsplash

相互に"同等の水準を有する個人情報を保護する法律"と認めている日本の「個人情報保護法」とEUのGDPRであるが、内容にはやや相違点もある。2つの違いと共通点をみていこう。

日本の「個人情報保護法」とは

個人情報保護法とは、国の行政機関や公的団体、民間企業など、個人の情報を取り扱うすべての事業者や組織が守るべき法律のこと。インターネットの普及やデジタル技術の進展、グローバル化などにより、個人の権利利益が侵害される危険性が高まったことなどを受け、2003年5月に公布され、2005年4月に全面施行された。

個人情報の適切な利用を促しつつも、個人の権利利益を保護することで、個人情報などの保護の対象となる情報の定義や、各情報を利用する際のルールを規定している。

2022年4月の改正法では、情報漏洩時の報告・通知義務化や第三者提供にあたっての本人同意が得られていること等の確認の義務付けなど、より厳格なものへと改正されている。

GDPRと個人情報保護法の共通点と違い

世界においてもとくに厳格だとされるGDPR。個人情報保護法も度重なる改正によって適用範囲が広がり、共通点も多くなっている。とくに2022年の改正では、これまで保護対象外であった。IPアドレスやCookieなどのオンライン識別子もIDとの連携で個人情報が特定される可能性があることなどから、保護対象となっている。

そのほかの内容では、EU内代理人の選定義務や違反時の罰則で課せられる制裁金の上限の大きさなどにGDPRと個人情報保護法の違いがみられる。

個人情報保護法GDPR
対象者日本国内の企業・団体・自治体・行政機関など
(2022年改正により日本国在住者の個人情報などを扱う外国企業外国企業も罰則対象に。海外の第三者企業に情報提供を行う場合は本人への情報提供の義務化)
EU居住者、EUに拠点を持つ企業・団体、EU居住者の情報を扱う企業・団体
保護対象氏名、生年月日、住所、顔写真など特定の個人を識別できる情報(改正により電話番号、指紋・顔、パスポート、運転免許証などの個人識別符号なども順次対象に)識別可能な自然人
メールアドレス
位置情報×→○ 2022年改正で適用
IPアドレス×→○ 2022年改正で適用
Cookie×→○ 2022年改正で適用
個人データ漏洩時の対応個人条保護委員会へ報告、本人への通知(2022年法改正で努力義務から義務へ)72時間以内に管轄監督機関に通知
EU域内の代理人規定なしEU域内に拠点を持たない企業は代理人の選任義務あり
違反時の罰則・措置違反で1年以下の懲役もしくは100万円以下の罰金
・報告義務違反は50万円以下の罰金
・個人に対する罰則はデータベースの不正利用で1年以下の懲役あるいは50万円以下の罰金
・法人は措置命令違反とデータベースなどの不正利用で1億円以下の罰金、報告義務違反で50万円以下の罰金
・1000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額2%以下のいずれか高い方
・2000 万ユーロ以下または、事業の場合は前会計年度の世界全体の売上総額4%以下のいずれか高い方

グローバルな情報社会で軽視できないGDPR

GDPRは、基本的にはEU領域内で適用されるものである一方で、日本にも関係のある法律だ。GDPRに違反すると多額の制裁金を科せられる場合もあり、実際にGDPRに違反した日本企業も存在する。これらは企業の経営に大きな打撃を与える可能性が高いため、注意が必要だ。いま一度、GDPRがどのようなものなのか、その内容への理解を深め、企業としての留意点や対策を考えていく必要がある。

※掲載している情報は、2024年1月13日時点のものです。

    Read More

    Latest Articles

    ELEMINIST Recommends