GDPR(General Data Protection Regulation:EU一般データ保護規則)は、個人情報の取扱いについて定めたEUの法律で、2018年5月より適用開始しました。
『ヨーロッパに拠点のない企業は関係ない』と思われる方もいるかもしれませんが、たとえ拠点を設けていなくても、規制対象となる可能性はゼロではありません。
日本企業も規制対象となる可能性があるため、EUなどへグローバル展開をする企業は、GDPRについて理解しておく必要があるでしょう。
この記事では、GDPRの内容や企業側の対応方法などを解説します。
GDPR(EU一般データ保護規則)の基本概要
まずは、GDPRとは何かについて解説します。
GDPRはヨーロッパ版『個人情報保護法』
GDPRとは、EEA(※)内で集められた個人情報について、処理・移転する際の条件を定めた法律です。
個人情報の保護を目的に制定されました。
- 対象となる個人情報
氏名・位置データ・パスポート番号・IPアドレス・Cookieや、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因などが該当します。条文の中身が似ていることから、ヨーロッパ版個人情報保護法と呼ばれることもあるようです。
参考元:GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会
※EEA(欧州経済地域) |
ヨーロッパ内で、より自由度の高い交易を実現するために設置された枠組みのこと。31ヶ国が加盟。 |
前身であるDPD(EUデータ保護条例)からの変更点
GDPRの前身として、1995年より試行されたDPD(Data Protection Directive:EUデータ保護指令)があります。
主な変更点としては、『IPアドレスやCookie』が新たに個人情報に含まれるなど、保護対象が拡大している点が挙げられます。
ほかにも、『個人情報を入手する際は、ユーザーから同意を得ること』『個人情報の取扱い量が膨大な企業については、データ保護責任者を配置すること』『目的達成のために必要とされる期間を超えて、個人情報を保持しないこと』など、取扱い条件や禁止事項が増設されている点も挙げられます。
GDPRの規制対象となる企業
GDPRでは、『EEA内に子会社や営業所などの拠点を設けている場合はもちろん、EEA内に商品・サービスを提供しているだけでも適用されうる』と定義されています。
また、企業規模にかかわらず適用されるため、大企業でなくても規制対象となりえます。
したがって、EEA内に拠点を置いていない、中小規模の日本企業が規制対象となることも十分に考えられます。
例として、『EEA内のユーザーを対象に物販を行っている』『EEA内のユーザーを対象にアプリを開発・配信している』という企業などは、規制対象となる可能性はゼロではありません。
違反企業には巨額の制裁金が科せられる
GDPRの規定に違反した場合、下記の金額を上限とした巨額の制裁金制度が設けられています。
また、科せられる制裁金は違反内容によって変わります。
『1000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の2%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする』
4.Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:
引用元:GDPR第83条|個人情報保護委員会
『2000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする』000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:
- Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20
引用元:GDPR第83条|個人情報保護委員会
企業が取るべき対応
上記の規制対象に該当する企業は、GDPR対策を取る必要があります。経済産業省では、『EU域内にいる個人の個人データを取り合う企業の皆様へ』という呼びかけのもと、企業が取るべき対応について、以下のように紹介しています。
これらは義務であり、背いた場合はGDPR違反にあたり、上記で述べた制裁金が科せられます。
対象企業に発生する義務 | |
通知 | 個人情報を入手する際は、ユーザーに対して入手目的や保管期間などを知らせること これに背いた場合は、GDPR第12条違反にあたります |
同意 | 個人情報を取り扱う際は、ユーザーから同意を得ること これに背いた場合は、GDPR第7条違反にあたります |
アクセス権 | ユーザーが自身の個人情報について、アクセスできるようにすること これに背いた場合は、GDPR第15条違反にあたります |
センシティブデータ | 人権・信仰・健康・性的指向・政治的信条などについては、取り扱わないこと これに背いた場合は、GDPR第9条違反にあたります |
代理人選任義務 | EEA内に拠点がない企業については、EEA内に代理人を選任すること これに背いた場合は、GDPR第27条違反にあたります |
個人データ侵害の通知義務 | 個人データが侵害された場合、72時間のうちに管轄・監督する機関へ知らせること これに背いた場合は、GDPR第33条2項違反にあたります 侵害行為によって起こり得るリスクが大きい場合は、ユーザーへ知らせること これに背いた場合は、GDPR第34条違反にあたります |
データ保護オフィサー | 取り扱う個人情報が膨大となる企業については、データ保護責任者(データ保護オフィサー)を選任すること これに背いた場合は、GDPR第37条違反にあたります |
参考元:EUの個人データ規制への日本企業の対応を支援します!|経済産業省
GDPRについて弁護士へ相談・依頼する必要性やメリット
『自社はGDPRの規制対象に該当する企業なのか』『具体的に何をすればよいのか』など、GDPRに関する不安や悩みなどについて、社内だけで解決できない場合は、弁護士に相談するというのも1つの手段です。
個人情報取扱規則策定のためのサポート
弁護士に相談・依頼することで、個人情報取扱規則の策定に関するサポートやチェックなどが受けられ、GDPR対応シフトへのスムーズな移行が期待できます。
SCC(標準契約条項)締結のためのサポート
SCC(Standard Contractual Clauses:標準契約条項)とは、個人情報の提供元と提供先との間で、個人情報のやり取りについての契約を結ぶというものです(締結後、欧州委員会が承認)。
これによって、GDPRの規制対象となっている場合でも、例外的に個人情報の移転が可能となります。
企業の中には、SCCの締結を考えているところもあるかもしれませんが、その際も、弁護士に相談・依頼することで、契約締結のためのサポートやチェックなどが受けられるでしょう。
そもそもどんな規則なの?というセミナーへの参加
GDPRについて対応経験のある弁護士の中には、GDPRに関するセミナーを開催しているところもあるようです。
セミナーでは、データ移転時の注意点などの実務対応や、他企業による対策事例の紹介など、セミナーだからこそ得られる情報などもあるかもしれません。参加することで、現在抱えている疑問の解決に繋がる可能性もあるでしょう。
どういった弁護士・法律事務所を選ぶべきか
まず前提として、GDPRはEUの法律であり、日本の法律ではありません。したがって、一般の法律事務所でGDPRを取り扱っている事務所はほぼないでしょう(町弁での対応はまずあり得ません)。
もし頼むとすれば、グローバルで法律事務所を展開する外資系法律事務所か、現地法律事務所にパイプのある大手法律事務所のいずれかを選ばれるのがよいと思われます。
弁護士への相談・依頼費用
相談料・依頼料については、事務所次第というところです。通常はタイムチャージ制が採用され、外資系であれば5~10万円/時間、大手法律事務所でも3~6万円/時間というところが妥当でしょう。
まとめ
GDPRは、日本で定められたルールではない上に、まだ試行されて間もない法律です。そのため、中身を十分に理解しきれていないという方も少なくないでしょう。
しかし、大企業に限らず、どんな企業であっても規制対象となる可能性はあります。
もしGDPRに関する不安がある場合は、弁護士に相談するなどして、適切な対応を取る必要があるでしょう。
この記事をきっかけに、GDPRに関する知識を深めていただければ幸いです。
参照元一覧 |
GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会 GDPR条文|個人情報保護委員会 EUの個人データ規制への日本企業の対応を支援します!|経済産業省 |