• 2020.09.01
  • 国際取引

一般データ保護規則(GDPR)

GDPR(General Data Protection Regulation:一般データ保護規則)の制定

EU域内の個人データ保護を規定する法としてのGDPR(General Data Protection Regulation:一般データ保護規則)が2018年5月25日に施行され、先行法令であるEUデータ保護指令(Data Protection Directive 95)は廃止された。GDPRは個人データやプライバシーの保護に関して、個人の権利の強化、規則の実効性の確保、個人データの国際移転の簡素化、及びグローバルなデータ保護水準の設定に重点を置いてEUデータ保護指令による保護を強化している。この変更により、人々は個人データをより制御できるようになり、個人データにアクセスしやすくなり、それがEU域外であっても、個人情報が確実に保護されるように設計されているとされる。また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持つ。これは、先行法令であるEUデータ保護指令では、具体的な個人データの規制はEUの各加盟国法に委ねられていたため、各国間で差異があり、ビジネス上の障害となっていたことから統一的なルールの制定が求められていたことに応えるものである。

GDPRの適用対象

GDPRは、EEA(European Economic Area:欧州経済領域)域内で取得した「個人データ」を、「処理」し、またはEEA域外の第三国に「移転」するために満たすべき法的要件を規定している。すなわち、GDPRが適用されるのは「処理」と「移転」の二つの場合である。

個人データ

GDPRの保護対象となる「個人データ」は、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データをいう。例えば、「短期出張や短期旅行でEEA 域内に所在する日本人の個人データや、日本企業からEEA域内に出向した従業員の情報(元は日本からEEA域内に移転した情報)も、処理および第三国への移転の制限を受ける個人データに含まれる。また、日本からEEA 域内に一旦個人データが送付されると、EUの基準に沿ってEEA域内において処理されなければならない。」「さらに、当該個人データを日本へ移転する場合、EUの基準を遵守しなければならない」(「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」日本貿易振興機構2016年11月3頁)。そして「個人データ」とは、識別された、または識別され得る自然人(「データ主体」)に関するすべての情報であり、具体的には、自然人の氏名、識別番号、所在地データ、メールアドレス、オンライン識別子(IP アドレス、クッキー識別子) 、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因等を含む。

処理

「処理」とは、自動的な手段であるか否かに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業を意味し、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、送信による開示、周知またはその他周知を可能にすること、整列または結合、制限、消去または破壊することをいう。具体的には、「クレジットカード情報の保存、メールアドレスの収集、顧客の連絡先詳細の変更、顧客の氏名の開示、上司の従業員業務評価の閲覧、データ主体のオンライン識別子の削除、全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成」(同「実務ハンドブック」)等が含まれる。

移転

「移転」には、EEA 域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為が含まれるとされる。例えば、個人データを含んだ電子形式の文書を電子メールで EEA 域外に送付することは「移転」に該当する。

GDPRの適用範囲(第2条、3条)

GDPRは、管理者、または処理者がEEA域外で設立されたものである場合であっても、EEAのデータ主体に対して商品またはサービスを提供する場合、及びEEAのデータ主体の行動を監視する場合には適用される。例えば、「EEA 域内所在者向けにインターネット上で、EU 言語(英語、フランス語など)で旅館への宿泊に当たってのサービスという商品・サービスを提供している場合には、日本国内で旅館を営業しているだけであっても、GDPR の適用が問題となる可能性がある」(同「実務ハンドブック」)。その場合、EEA 所在者がインターネット経由で個人データ(住所・氏名・クレジットカード番号など)を登録し、企業が当該個人データを取得することは、EEA の個人データの直接取得、即ちEEA の個人データの処理に当たる可能性がある。「EEAで取得した個人データ(顧客情報、取引先情報、従業員の人事情報、潜在顧客の情報、現地従業員の採用に当たって収集する履歴書など)を処理する場合」(同「実務ハンドブック」)も、GDPRを遵守することが必要になってくる。

管理者(第4 条7項)の定義

管理者とは、自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。その取扱いの目的及び方法がEU 法又は加盟国の国内法によって決定される場合、管理者又は管理者を指定するための特別の基準は、EU 法又は加盟国の国内法によって定めることができる。管理者は、個人データの処理の適法性とGDPR 違反に対する責任を負う。

処理者(第4 条8項)の定義

処理者とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。データ主体とは、個人データが関連する当該個人のことである。

個人データの処理・移転に関する義務・法的要件

EU 代理人を選任する義務(第27 条)
EU域内に拠点を持たない企業は、定期的なデータの処理を行う場合、大規模な個人データの処理を行う場合、データ処理により個人の権利と自由を危険にさらす危険が高い場合などには、代理人を選任しなければならない。その場合、EU代理人を、個人データが処理されるデータ主体が居住する加盟国のうちのひとつに設置する(第27条3項)。代理人は、管理者・処理者に加えて、または、管理者・処理者の代わりにGDPRの遵守に関する一切の問題に取り組むために、管理者・処理者により委任される(第27 条4項)。

個人データの処理の法的要件

個人データを処理する場合においては、以下のような法律上の規定を充足することが求められる。個人データを処理するに当たり、以下の6 原則(GDPR 第5 条1 項)を遵守する義務に加えて、管理者は適切な個人データ保護指針の採択、およびその実行を含め、GDPR の要件を確実に遵守し、かつそのことを説明できなければならない(説明責任の原則)。

1 適法性、公平性および透明性の原則
個人データは、そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で処理されなければならない。(「適法性、公正性及び透明性」)

2 目的の限定の原則
個人データは、特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的処理をしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的処理は、第89 条第1 項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)

3 個人データの最小化の原則
個人データは、その個人データが処理される目的との関係において必要のあるものに、適切であり、関連性があり、かつ限定されなければならない。(「データの最小化」)

4 正確性の原則
個人データは、正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが処理される目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)

5 保管の制限の原則
個人データは、その個人データが処理される目的のために必要な期間だけ、データ主体の識別を許容する形態で維持されるべきである。データ主体の権利及び自由を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89 条第1 項に従い、公共の利益における保管目的、科学的研究若しくは歴史的研究目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)

6 完全性および機密性の原則
無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、処理される。(「完全性及び機密性」)

個人データの取扱いと関連する基本原則

管理者は、第1 項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)

説明責任の実施(第24-30、37-39条)

本規則に従って処理が遂行されることを確保し、かつ、そのことを説明できるようにするために必要な事項は上記以外に以下のようなものがある。
1 管理者および処理者は、個人データの処理行為の内部記録を保持しなければならない。
2 データ保護責任者(Data Protection Officer:DPO)の選任(義務がある場合)
3 管理者は、処理システムの設計、および当該システムの運用において、データ主体の権利を保護し、GDPR を確実に遵守するために、適切な技術的および組織的な措置を実行しなければならない。また、個人データは、処理の目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。
4 新技術の使用や処理の性質、対象、目的などに鑑みて、自然人の権利と自由が脅かされる高いリスクが予想される場合は、データ保護影響評価を実施し、当該影響評価の結果、管理者がリスクを軽減する対策を採らなければ「処理」が自然人の権利や自由に高いリスクを生じさせる可能性がある場合は、当該処理の前に監督機関と事前相談を行う。
5 個人データのセキュリティに関する義務(第4 条12項、第32-36 条)。個人データの侵害があった場合には、一定の場合に監督機関およびデータ主体に通知しなければならないとされている。個人データの侵害とは、移転、保存またはその他の取り扱いがなされた個人データに対する偶発的な、または違法な破壊や滅失、変更、許可されていない開示、アクセスをもたらすセキュリティ侵害のことをいう。個人データの侵害の例としては、サイバー攻撃により自社サーバに保管されたEEA所在者の個人データが漏洩した場合などが考えられる。管理者は、個人データの侵害が発生した場合、自然人の権利および自由に対してリスクが生じ得る侵害を、不当な遅滞なく、可能であれば侵害を認識してから72 時間以内に監督機関に通知しなければならない。また、監督機関への通知が72 時間以内になされない場合には、遅滞に関する理由も通知する必要がある。

個人データの侵害のデータ主体への通知(GDRR 第34 条1 項)

管理者は、個人データの侵害が自然人の権利および自由に対して高いリスクを引き起こし得る場合、不当な遅滞なしにデータ主体に個人データの侵害について通知しなければならない。なお、GDRR 第34条3項は、上記通知を行う必要がない場合について規定している。
(a) 管理者が適切な技術上及び組織上の保護措置を実装しており、かつ、当該措置、特に、暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合
(b) 管理者が、第1 項で定めるデータ主体の権利及び自由に対する高いリスクが具体化しないようにすることを確保する事後的な措置を講じた場合
(c) それが過大な負担を要するような場合。そのような場合、データ主体が平等に効果的な態様で通知されるような公的な通信又はそれに類する方法によらなければならない。

データ主体の権利の尊重(第12条)

管理者はデータ主体の権利(情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利(13条から22条))を尊重しその行使を円滑にする必要がある。

情報権(第13条、第14 条)

管理者がデータ主体から個人データを収集する場合、個人データ入手時に、データ主体に一定の情報を提供することを要求するものである。

アクセス権(第15 条)

管理者は、データ主体から、処理が行われている個人データへのアクセスの請求があればそのコピーを提供しなければならない。

訂正の権利 (第16 条)

データ主体は、不正確な自己の個人データに関する訂正を管理者に求める権利を有する。

訂正の権利

データ主体は、管理者から、不当に遅滞することなく、自己と関係する不正確な個人データの訂正を得る権利を有する。取扱いの目的を考慮に入れた上で、データ主体は、補足の陳述を提供する方法による場合を含め、不完全な個人データを完全なものとさせる権利を有する。

削除権(第17 条1項)

一定の場合、データ主体は、自己に関する個人データの削除を管理者に求める権利を有する。

制限権(第18条)

データ主体は、管理者に対して、一定の場合に個人データの処理を制限する権利を有する。

データポータビリティの権利(第20 条)

データ主体は自己に係わる個人データを、構造化され、一般的に使用され、機械によって読み取り可能な形式で受け取る権利を有する。

異議権(第21条)

データ主体は自己に関する個人データの取り扱いに対し、異議を述べる権利を有する。

自動化された個人の判断に関する権利(第22 条)

データ主体は、自分に対する法的影響を生じ得るような、プロファイリングを含む自動処理のみに基づいた判断の対象にならない権利を有する(例、人が介入しないオンライン上での借入申込やインターネットでの採用活動。

適法な処理の要件(同意等)

また、管理者または処理者は、GDPR第6 条1項が定める次の場合にのみ、個人データの処理を行うことが許される。
(a)データ主体が、一つ又は複数の特定の目的のための自己の個人データの処理に関し、同意を与えた場合。
(b)データ主体が当事者となっている契約の履行のために処理が必要な場合、または契約の締結前のデータ主体の求めに応じて手続きを履践するために処理が必要な場合
(c)管理者が従うべき法的義務を遵守するために処理が必要な場合
(d)データ主体、または他の自然人の重大な利益を保護するために処理が必要な場合
(e)公共の利益、または管理者に与えられた公的権限の行使のために行われる業務の遂行において処理が必要な場合
(f)管理者または第三者によって追求される正当な利益のために処理が必要な場合。ただし、データ主体の、特に子どもがデータ主体である場合の個人データの保護を求める基本的権利および自由が、当該利益に優先する場合を除く

個人データの移転の法的要件

EEA域外への個人データの移転は原則として違法であるが、移転先の国・地域に「十分性」(法整備などに基づき、十分に個人データ保護を講じていること)が認められた場合(第45条)(アンドラ、アルゼンチン、カナダ(民間部門)、フェロー諸島、ガンジー、イスラエル、マン島、ジャージー、ニュージーランド、スイス、ウルグアイ、米国プライバシーシールド、日本(2019年1月23日付で認定))、または適切な保護措置を取った場合(適切な保護措置として、行為規範、認証制度、標準契約条項(Standard Contractual Clauses: SCC)、または拘束的企業準則(Binding Corporate Rules: BCR)などがある。)などには、例外的に適法となる。なお、上述の十分性の認定等の移転の適法要件を充たしたとしても、さらにデータ処理のための適法要件を充足することが必要であり、これに違反した場合には4に記述するような高額な制裁金が課される可能性があることには注意が必要である。

標準契約条項(SCC)

SCC とは、欧州委員会によって決定された契約書の雛形であり、当事者間でこの雛形を使ってデータ移転契約を締結することで適切な保護措置を提供し、適法なデータ移転を行うものである。

拘束的企業準則(BCR)

拘束的企業準則は監督機関による承認が必要であり、その取得までに比較的長い期間と多額の費用が掛かるが、最も安全な手段であるとされる。「BCRは、事業体グループまたは共同経済活動に従事する事業体グループ内で、一カ国または複数の第三国における管理者または処理者に対して個人データの移転または一連の個人データの移転のため加盟国の領域上にある管理者、または処理者によって遵守される個人データ保護方針を指」す。「EEA域内の企業グループ内の拠点からEEA域外の企業グループ外へのデータ移転はSCCを締結するのが一般的で」ある。

制裁金

GDPRは「EU基本権憲章」というEU法体系の根幹をなす法において保障されている、個人データの保護に対する権利という基本的人権の保護を目的とした法律であるため、違反に対して厳しい行政罰を定めている。
なお、GDPR 違反の場合の監督機関による対応としては、行政制裁金の賦課のみならず、開示や監査といった調査、作為または不作為に関する遵守命令、処理の禁止、データ主体に周知させる命令、認証の撤回、および警告がある。GDPR違反の場合の制裁金の上限額には、①1,000 万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方、②2,000 万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方の2 とおりの類型がある。実際に、個人情報の遺漏等を伴わなくとも、本規則に違反したことを理由として高額な制裁金が課された事例がある(情報提供義務違反及び同意手続違反を理由として、米グーグルに対して2019年1月21日付で62億円の制裁金の支払いを命じている。