世界で最も厳格とされる一般データ保護規則（GDPR）の概要・日本企業の留意点

GDPRの概要

GDPRは「個人情報の保護と個人情報の処理」について定めており、欧州経済領域 （すなわちEU 27か国に加えて、リヒテンシュタイン・アイスランド・ノルウェーを含む地域）に適用される法令です。1995年から適用されていた「EUデータ保護指令（Data Protection Directive 95）」に代わるものですが、GDPRは、次の３つの目的の「データ保護改革」をしたものと考えられています。

• 個人データのポータビリティ（可搬であること）を権利として位置づけたり、未成年者に関する特則を設けたりして、データ保護を個人の権利として強化すること。
• データを取り扱う当事者（データ管理者・データ処理者）に責任を持たせること。
• 規制の信頼性を高めるため、各加盟国の監督機関の協力を強化すること。

GDPRの運用を統括するEUの機関である「欧州データ保護会議（EDPB：European Data Protection Board）」は、定期的に、GDPRに定められる権利義務を明確にする「レコメンデーション」「ベストプラクティス」や「ガイドライン」等を発表しています。また、これらに加えて、1995年のEUデータ保護指令に適用されるガイドラインが、GDPRに規定される概念の解釈の指針となることもあります。

GDPRは、世界に類するデータ保護・個人情報保護法制がある中でも、精緻な規制体系と広範な適用可能性を有することから、欧州各国に所在する企業にとどまらず、世界中でその検討と対応がなされています。また、各国が個人情報保護法制を新たに導入し、改正する際には、大きな指針として機能しているところです。

たとえば、日本企業の場合であっても、欧州の該当地域に居住する個人のデータについて扱う場合には、GDPRの適用があり得て、そのため全面的に海外展開をしていないケースであったとしても、日常的な業務との関係で、適用があるかどうかの判断と、どう遵守するかの検討が必要です。

GDPRが定める「個人情報」とは

GDPRが保護する「個人情報」は、かなり幅広い概念です。EDPBは、個人情報を「識別された個人（自然人）又は識別可能な個人（データ主体）に関する情報」と定めています。

単体で個人を識別できるデータの例としては、「名前」や「社会保障番号」がありますが、個人の氏名が分からない場合でも、組み合わせることによって個人を識別できる情報であれば、GDPRは適用されます（例：所在地データ、連絡先、IPアドレス、経済的な状況に関する情報等）。

GDPRが定める個人情報の処理とは？

個人情報を「処理」することの範囲については、こちらも幅広い概念であり、個人データに関連するあらゆる操作を意味しています（個人情報の取得、保管、変更、使用、送信による開示、消去等）。具体的には、ニュースレターを送信するメールアドレスをリストにまとめることや、オンラインサービスの支払いの際にクレジットカード番号を取得することも「個人情報の処理」になります。

GDPRの地理的適用範囲

EUは「データ保護」は基本的人権であるというアプローチをとっていて、EU内の全ての個人の権利を全世界で守るという意味で、地理的適用範囲が非常に広い法律となっています。適用範囲は、第3条に定められており、「拠点基準」又は「標的基準」に該当する「データ管理者」「データ処理者」にはGDPRが適用され、GDPRを遵守する義務を負います。

このため、欧州経済領域の加盟国ではない日本に所在する企業であっても、EUに所在する顧客等の個人情報を取り扱っている場合、GDPRの規制を守る義務があります。

GDPRの地理的適用基準①：拠点基準

「拠点基準」は、EUの加盟国に住所等の拠点を有している場合に該当します。日本企業が「EU内に同じグループの会社があった場合」、そのEUの国の顧客の情報を取り扱っている場合、GDPRが適用されます。

また、子会社やグループ会社がEU内にない場合でも、市場調査等の目的でエージェントや社員等をEUに派遣したときには、拠点基準が満たされることもあり得ます。

GDPRの地理的適用基準②：標的基準

「標的基準」は、拠点がEUに無かったとしても、EUに所在する顧客のために商品を販売している、又はサービスを提供している場合に該当します。

ビジネスプロジェクトの段階で、GDPRが適用されるか否かを評価する際に、ウェブサイトの言語も判断要素になります。

例えば、宿泊施設を経営している企業が、ドイツ語やフランス語のウェブサイトを通じて旅館の紹介・予約受付をする場合、日本国内の旅館を紹介しているだけでも、EU所在者が宿泊施設を予約した場合には、個人データ（クレジットカード情報、氏名、住所等）の取扱いにGDPRが適用されます。

特に、オンラインでサービスを提供している日本企業に気を付けていただきたいのは、EUに所在するユーザーがウェブページを閲覧するだけで、たとえ明示的に自身に関する情報を送信しなくても、クッキーのやりとりによってデータを伝達することがある点です。GDPRはサイトオーナーに対して、個人情報の取扱いに十分な透明性を確保することを義務付けており、GDPRの規制が適用されます。

GDPRが適用される場合の義務

このように日本企業にもGDPRが適用されることがあります。GDPRは個人データを提供するデータ主体に様々な権利を与えており、同時にデータを管理する企業側に、いろいろな義務を負わせています。

GDPRが定めるデータ主体の権利

a. 一定の情報を受ける権利

管理者が、データ主体から個人データを収集する場合、データ主体は、一定の情報を受ける権利を与えられています。分かりやすい例が、ウェブサイトにある「プライバシーポリシー」です。

GDPR上、EUの個人情報を取り扱っている企業は、下記の情報をウェブサイトに表記することが義務付けられています。

• データ管理者の連絡先
• データ収集等の処理の目的
• ウェブサイトに問合せフォームがある場合、どの回答が必須で、どの回答は任意か。
• 収集されたデータの受領者
• EU以外の国にデータが移転される場合は、その旨（日本企業の場合は非常に大事です。）
• データ処理の法的根拠（例：データ主体の同意、データ主体・データ管理者間の契約関係、法的義務、データ主体又は他の個人の生命に関する利益を保護するため、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のため、正当な利益の目的のために取扱いが必要となる場合）（各データの処理について、法的根拠は一つだけ認められることになります。）
• 以下のbからfに記載される、データ主体の権利の表示

b. アクセス権

データ主体が、管理者に対して、自身についてどのような個人情報を保持しているか知るために、その依頼があった場合、管理者が保持している個人情報の内容の写しの提供を求めることができる権利を指します。

c. 訂正権

データ主体が、管理者に対して、自身に関する不正確な個人データの訂正を求める権利を指します。

d. 削除権

GDPRが定める条件を満たした後に、例えば、個人データが、それが収集された目的から必要でないものとなっている場合や、処理の根拠である同意を撤回した場合、その取扱いのための法的根拠が他に存在しない場合や、個人データが違法に取扱われた場合等、データ主体が、個人データの削除・消去を求めることができる権利です。

e. データポータビリティ（可搬性）の権利

データ主体は、自身に関する個人データをCSV等のフォーマットで受け取り、別の管理者に個人データを移行する権利を意味します。

f. 異議を唱える権利

ダイレクトマーケティングの対象になった場合などに、データ主体が、自身の個人データの処理に対し異議を述べることができる権利です。

GDPRが定めるデータ管理者の義務

次に、GDPRが定めるデータ管理者の義務についてご紹介します。

全ての義務を列挙しているものではありませんが、特に日本のデータ管理者・処理者に知っていただきたい点について挙げます。

a. データ主体の権利保護・適切な措置を実行する義務

データ管理者は、処理システムの設計及び運用において、データ主体の権利を保護し、GDPRを確実に遵守するために適切な、技術及び組織的な措置を実行する義務を負っています。

具体的には、組織の中で個人情報にアクセスできる人を制限することや、個人情報を保管するPC等にパスワードをかけることを指しています。

b. データの範囲を最小限とする義務

データ管理者が取り扱う個人データの範囲は、処理の目的に基づく必要性に照らして適切で、関連性があり、最小限とする義務を負っています。

例えば、管理者は、個人情報を取得する際に、業務に合った情報のみを取得すべきことになります。フィンテック関連の企業であれば、個人の経済状況に関する情報を取得することが考えられても、ネット通販の企業であれば、同様の情報を取得する必要はない、とも考えられます。

c. EU代理人を選任する義務

EU域内に拠点を持たない企業は、定期的なデータの処理を行う場合、大規模な個人データの処理を行う場合、又はデータ処理により個人の権利と自由を危険にさらすリスクが高い場合などには、EUでの代理人を選任する必要があります。

代理人の必要性に関しては、具体的な事案ごとに評価・判断する必要があります。

例えば、事業が開始したばかりの時点では、EUの個人情報の処理が少なくEU代理人を選任する条件を満たしていないとしても、その後、処理が増えて、EUの定期的・大規模の個人情報の処理といった上記の条件を満たすこともあり得ますので、定期的に必要性を再評価することをお勧めします。

d. 個人データ処理行為の内部記録を保持する義務

個人データ処理行為の内部記録を保持する義務は、「どのようなデータを」「どの目的で」処理するかを書面に残す義務です。

内部記録のひな形は、EU加盟国の監督機関のウェブサイト等に用意されており、エクセルシートに情報を記入していく体裁となっています。

データ管理者は、データ侵害等のトラブルが生じた際には、監督機関に対して、直ちに当該内部記録を提出する義務を負っており、内部記録は、正確に作成する必要があります。

e. 監督機関に対する個人データ侵害の通知義務

2022年初めに、ケーススタディ等を含めたガイドラインが、EDPBによって公表されました（Guidelines 01/2021 on Examples regarding Personal Data Breach Notification）。

GDPRに基づき、個人データの侵害があった場合、個人の権利と自由を危険にさらすリスクがあった場合、監督機関にその旨を通知する義務があります。

「データの侵害」とは、取扱いがなされた個人データに対する、偶発的で、又は違法な破壊や滅失、変更、許可されていない開示・アクセスをもたらすセキュリティ侵害を指しています。

例としては「サイバー攻撃により管理者のサーバに保管されたEU所在者の個人データが漏洩した場合」などが考えられますが、「USBメモリ等に保管されたEU所在者の個人データをどこかに置き忘れた」というような場合であっても、GDPRにおける「データの侵害」にあたりますので、留意する必要があります。

また、侵害によって個人の権利や自由にリスクが生じ得る場合、侵害を認識してから72 時間以内に、監督機関に通知しなければなりません。

さらに、個人の権利や自由を危険にさらすリスクが高いと判断される場合には、あわせて、データ主体（本人）に対しても、その旨を通知する義務があります。

リスクの高さは、9つの要素に基づき判断されるものとされています。例えば、医療データなどのセンシティブデータが侵害にあった場合か、大量のデータが侵害にあった場合か、法的に特に守られているデータ主体のデータが侵害にあった場合か、等です。

GDPRに違反した際の罰則

GDPRは、世界でも、最も厳しいデータ保護法であると言われています。GDPRは、欧州の法律ですが、日本のデータ管理者にも適用されるケースがあります。

この場合、上記のデータ主体の権利を理解し、適用ある義務を遵守しなければならず、さもなければ、罰則が課されることがあります。

GDPRの義務に違反した場合、データ管理者・処理者には、「全世界での年間売上げ」の2％から4％、又は2000万から4000万ユーロの制裁金が科される場合もあることが定められています。

法律事務所に相談のうえ、安心のGDPR対応を

このように、グローバル展開する企業にとって、取引先や提供先の地域のデータ保護規則にも留意が必要です。その中でも、世界で最も厳格に定められたデータ保護規則とされるGDPRでは、EEA（European Economic Area：欧州経済領域）域内の個人データをEEA域外に移転する際のルールなどが定められています。対象地域と取引のある日本企業は、日本の個人情報保護法で定められた基準を満たすだけでなく、GDPRに準じた体制を整備する対応が求められます。

法律事務所ZeLoでは、国内外を問わず、データ保護対応の経験が豊富な弁護士でチームを編成し、サポートにあたっています。必要に応じて海外の法律事務所とも協働しています。また、EUのデータ保護における専門知識を有する認定DPO(Data Protection Officer) Certificateを保持する専門家も在籍しております。支援実績も、スタートアップから中小・上場企業まで多岐にわたり、企業規模やビジネススキームに合わせた、迅速かつ質の高いサービスを提供いたします。GDPR対応や個人情報法などの対応についてお困りの方は、ぜひ一度ご相談ください。