日本の中小企業にも影響!? EU域内でGDPR施行EU居住者の個人情報を保護する規則
同データ扱う全事業者が適用対象に

2018年5月25日、EU域内でGDPRが施行されたことをご存知でしょうか。これは、「EU一般データ保護規則」のこと。基本的にEU加盟国が対象ですが、その影響は日本の事業者にも及ぶとされています。

EU諸国とビジネスを行う国内事業者はもちろん、「EUとの取引はないから」という事業者でも同規則が適用される可能性があります。適用対象となれば、2017年5月30日に国内で施行された改正個人情報保護法に続き、今度はGDPRへの対策も求めれられることになります。そこで、新たに施行されたGDPRについて調べてみました。

EU域内で守るべき個人情報保護の枠組み

前段で述べた通り、GDPRとはEU一般データ保護規則のことであり、その英語表記である「European Union’s General Data Protection Regulation」の頭文字を取ったものです。EU加盟国を対象とした個人データの保護が目的の管理規則で、従来の「データ保護指令」に替わり、より厳格化された個人情報保護の枠組み(個人データの「処理」と「移転」に関する法律)です。

要は、「EU圏内の居住者に関する個人データについては、GDPRで定められら規則に従って取り扱わなければならない」ということです。規則の詳細は他に譲りますが、91条に及ぶ規則から構成されるGDPRでは、個人データ処理に関する原則や権利から、管理者などが負うべき義務やデータをEU域外移転させる場合の規定、監督機関設置に関する規定、障害発生時の救済や管理者への罰則まで、多岐にわたって規則が定められています。

例えば、「個人データの処理における原則」については、以下のような規則が定められています(JETROの「GDPRに関わる実務ハンドブック―入門編―」より抜粋)。

No 原則 内容(GDPR 第 5 条第 1 項)
1 適法性、公平性および透明性の原則 個人データは、適法、公平かつ透明性のある手段で処理されなければならない。
2 目的の限定の原則 個人データは、識別された、明確かつ適法な目的のために収集されるものでなければならず、これらと相容れない方法で更なる処理を行ってはならない。
3 個人データの最小化の原則 個人データは、処理を行う目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。
4 正確性の原則 個人データは、正確であり、必要な場合には最新に保たれなければならない。不正確な個人データが確実に、遅滞なく消去または訂正されるように、あらゆる合理的な手段が講じられなければならない。
5 保管の制限の原則 個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。
6 完全性および機密性の原則 個人データは、当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。当該方法は、無権限の、または違法な処理に対する保護および偶発的な滅失、破壊、または損壊に対する保護も含むものとし、個人データの適切なセキュリティが確保される形で処理されなければならない。

 

全体的な外枠は、昨年に国内で施行された改正個人情報保護法に似ている面もありますが、細かい部分でGDPRは改正個人情報保護法よりも厳密な対応が求められているようです。特に、大きく異なるのは罰則規定でしょう。

日本の改正個人情報保護法では、違反したからといって即座に罰則が適用されるわけではなく、罰金もわずかです。これに対してGDPRでは違反事業者に対する罰則は厳しいものです。

同規則で規定された安全管理対策に取り組んでいなかった場合などには、「1000万ユーロ(約13億円/1ユーロ130円換算)、または前年度の全世界年間売上高の2%以下のいずれか高い方」の金額が、さらに個人データを違法に取り扱った場合や重要データについて取り扱い規定を守っていなかった場合などは、「2000万ユーロ(約26億円/同前)、または前年度の全世界年間売上高の4%以下のいずれか高い方」の金額が制裁金として科されます。

大手企業ならまだしも、中小企業にとってはかなりの高額だけに、万一に制裁金が科された場合には経営へのダメージどころか倒産の危機も懸念されるのではないでしょうか。

影響を受ける可能性がある日本の事業者

GDPRはEU域内でのビジネスを対象としたもので、EU圏内(厳密にはEEA:欧州経済領域)で事業を行う事業者や、EU加盟国に居住している顧客データを扱う場合などに適用を受けるため、EEA域内でビジネスを行い個人データを取得する中小・零細企業を含む日本企業や日本の公的機関に対しても幅広く適用されることになります。

具体的に、下記のような日本国内の事業者などでは、同規則に基づく体制整備が求められることになりそうです。

【EU圏内に子会社や支店、営業所、駐在事務所などを持つ事業者】

EEA域内の現地法人や支店で現地の人々を従業員として雇ってる場合、その個人データはGDPRに従い取り扱うことが求められます。その管理を日本国内で行っている場合であっても、同規則が適用されます。

すでにEU域内で事業を行っている企業であれば、1995年に策定されたデータ保護指令による個人情報保護の管理体制を導入していることと思われますので、それをGDPRの規則に合わせてブラッシュアップする必要があります。もちろん、これからEUへ進出する予定の日本の事業者にもGDPRが適用されますので、その対応は必至となります。

【日本からEUに商品の輸出やサービスを提供している事業者】

EU域内に拠点がなくとも、ネット通販事業者などは注意が必要です。EEA域内に住む顧客が販売サイトから商品を購入する場合、氏名や住所、クレジットカード番号などを入力すると思いますが、これらは個人データとしてGDPRの適用を受けます。さらにクッキー(cookie:ブラウザに情報を保存させる仕組み)などで得られた情報も対象になるとされています。

サーバーが日本などEU外にあっても関係なく、EU居住者の個人データを扱う以上は同規則が適用されるわけです。「日本でのビジネスだから関係ない」では済まされないといえるのではないでしょうか。

【EU加盟国の事業者から個人データ処理を委託されている事業者】

当然ですが、データセンター事業者やクラウドベンダーなどでは、委託を受けたデータ処理やデータ管理の中にEU居住者の個人データが含まれている場合も、GDPRの規則が適用されることになります。

すでに施行されたGDPRですが、「同規則の対象事業者であっても対応していないどころか、その存在さえ知らないという事業者も多い」との調査結果が報告されています。頭から関係ないと決め付けず、特にネット通販事業者などはEU加盟国との接点がないかどうか精査し、場合によっては早急に対応が必要でしょう。

詳細情報については、日本貿易振興機構(JETRO)などがGDPRについて解説したハンドブックなどを提供しており、参考にするとよいようです。実際の対策は複雑ですので、専門家などの協力を得ながら早めに体制を整備したいものです。(長谷川丈一)