EU域内でビジネスを展開する企業にとって、避けて通れないのが「GDPR」です。
「自社はEUに拠点がないから関係ない」と思っていても、Webサイトを通じてEU在住者の情報を取得していればGDPRの対象になる場合もあります。
GDPRのルールに違反すると高額な制裁金が科される可能性があります。
違反を防ぐためにも、GDPRについて正しく理解し、必要に応じて情報の取り扱いを見直すことが重要です。
本記事では、GDPRの基本的な定義や対象範囲、違反リスクについて解説します。
弁護士に問い合わせる
GDPRとは?EU圏で規定されている一般データ保護規則のこと
GDPR(General Data Protection Regulation)とは、EU域内の各国に適用される、個人データの保護や取り扱いを定める規則をいいます。
EUでは、もともと「EUデータ保護指令」が個人データの保護や取り扱いを定めていました。
しかし、EUデータ保護指令は、個人データ保護のための国内法を制定するための指針としての性質のみを有しており、国ごとに保護水準にばらつきがありました。
そのため、EU全体で統一的な個人データ保護ルールを整備する必要性が高まり、2018年5月25日からGDPRが施行されたのです。
「GDPRとは?」と調べている企業が最初に知るべき3つのポイント
GDPRのルールはとても複雑ですが、まずはこれから紹介する3つのポイントをおさえておきましょう。
1.EEA所在者の個人データのやり取りが規制の対象となる
GDPRが規制するのは、個人データの「移転」と「処理」です。
ここでいう個人データとは「識別された、または識別され得る個人に関するあらゆる情報」を意味します。
つまり、単体で個人を識別できるものだけでなく、組み合わせることで個人を識別できるデータなどは、全て個人データに該当するのです。
たとえば、以下のような情報は個人データに該当します。
|
2.日本に移転する場合は十分性認定の補完的ルールを守ればよい
日本は「十分性認定」を受けているので、特別な契約や追加の保護措置を講じなくても、欧州側が求める補完的ルールを守れば、EU域内の企業から日本企業への個人データの「移転」が可能です。
十分性認定とは、欧州委員会がある国や地域に対して、個人データがEUと同等の水準で保護されていると公式に認める制度です。
しかし、データの取り扱いが「処理」と評価される場合には、GDPRそのものが適用されます。
この場合、日本企業であっても、GDPRのルールに従って対応しなければなりません。
3.GDPRのルールを破った場合は高額な制裁金を課されてしまう
GDPRに違反した場合、違反内容に応じて非常に高額な制裁金が課されることがあります。
以下、違反内容と制裁金をまとめましたので、必ず遵守しましょう。
| 違反内容 | 制裁金(上限) |
|---|---|
|
以下のうち高い金額
|
|
以下のうち高い金額
|
【参考記事】「EU一般データ保護規則(GDPR)」 に関わる実務ハンドブック(入門編)
「GDPRとは?」と調べている企業でとくに気を付けるべきケース4選
「日本企業であればGDPRの対象ではないのでは?」と思う方もいるかもしれませんが、それは間違いです。
実際に、日本貿易振興機構が企業向けに公開しているハンドブックでは、GDPRの適用範囲について以下のように記載されています。
(3) GDPRの適用範囲(第2条および第3条)
GDPRは、管理者、または処理者がEEA域外で設立されたものである場合であっても、以下のいずれかの場合には適用される。
- EEAのデータ主体に対して商品またはサービスを提供する場合
- EEAのデータ主体の行動を監視する場合
つまり、日本国内にしか事業所がない企業であっても、EEAと取引をおこなっていればGDPRの適用対象となるケースがあるので、注意が必要です。
ここでは、とくに注意すべきケースを4つ紹介するので、しっかりと確認しておきましょう。
なお、EEAとは、EU加盟28ヵ国に、リヒテンシュタイン・アイスランド・ノルウェーを加えた計31ヵ国を指します。
1.EEA域内に現地法人がある場合
まず、EEA域内に子会社や支店がある場合は、当然にGDPRの規制対象です。
たとえば、フランスに営業所を置いている場合が該当します。
2.EEA域内の人向けにWebサービスを提供している場合
EEA域内に子会社や支店がなくても、EEA圏内のユーザーに向けて商品やサービスを提供する場合、GDPRの規定が適用されることになります。
たとえば、フランス向けにネットショップを運営している場合が該当します。
3.EEA域内の人のユーザー行動を把握・分析している場合
EEA域内に子会社や支店がない、またはEEA域内のユーザーに対して商品やサービスを提供していなくても、EEA域内のユーザー行動を把握・分析している場合は、GDPRの規制対象です。
たとえば、海外ユーザー向けに英語のサイトを公開して、フランスからアクセスしたユーザーのCookie情報や氏名を受け取っている場合が該当します。
4.EEA域内の企業から個人データの処理を依頼されている場合
EEA域内に子会社や支店がない、EEA域内のユーザーに対して商品やサービスを提供していない、またはEEA域内のユーザー行動を取得・分析していなくても、EEA域内で取得した個人データの処理を委託されている場合は、GDPRの規制対象です。
たとえば、フランスの会社から顧客リストのデータ管理を委託された場合が該当します。
GDPRの適用対象になるか気になる場合は弁護士に相談しよう
EEA域内の企業や個人と何らかの取引ややりとりがある場合、自社がGDPRの対象になるかどうか注意が必要です。
ただし、GDPRの適用対象となるかどうかを自社だけで判断するのは難しいケースがあります。
そのため、不安があれば早めに弁護士に相談するのがよいでしょう。
ここでは、GDPRに関する相談ができる弁護士を探せるWebサイトを紹介します。
1.企業法務弁護士ナビ|国際取引が得意な弁護士を探せる
企業法務弁護士ナビは、国際取引分野を含む企業法務に強い弁護士を簡単に探せるポータルサイトです。
国際取引に詳しい弁護士に相談すれば、社内の個人情報取扱規則の整備や、個人情報のやり取りに必要な契約書(SCC:Standard Contractual Clauses=標準契約条項)の作成・チェックについてもサポートを受けられます。
弁護士の具体的な経歴や対応実績も掲載されているので、自社に合った弁護士を見つけやすいでしょう。
2.ベンナビIT|IT法務・ネット法務が得意な弁護士を探せる
ベンナビITは、IT法務・ネット法務に強い弁護士を簡単に探せるポータルサイトです。
個人データを取り扱うインターネット関連事業は、とくにGDPR違反のリスクが高まるため、IT企業であればIT法務に詳しい弁護士を選ぶのが望ましいでしょう。
本サイトも、弁護士の具体的な経歴や対応実績が掲載されており、自社に合った弁護士を見つけやすくなっています。
無料相談に対応している弁護士も多いので、まずは一度相談してみるのがおすすめです。
弁護士に問い合わせる
さいごに|GDPRの適用対象なら適切な対策を取るようにしよう!
本記事では、GDPRの概要や適用範囲、注意すべきケースなどについて初心者にもわかりやすく解説しました。
GDPRは「海外の法律だから関係ない」とは言いきれません。EEA域内の個人データを扱う限り、日本企業であっても対象になる可能性があります。
万が一違反してしまうと、高額な制裁金や企業イメージの低下など、大きなダメージを受けるリスクもあるので注意が必要です。
自社がGDPRの適用対象になるかどうかをきちんと確認し、必要に応じて情報の取り扱いについて適切な対策を講じましょう。
なお、GDPRの適用対象となるかどうか判断に迷ったら、早めに弁護士に相談するのがおすすめです。
企業法務弁護士ナビでは、国際取引分野を含む企業法務に強い弁護士を多数掲載しています。
無料相談に対応している弁護士も多いので、ぜひお気軽にご相談ください。
弁護士に問い合わせる
