GDPR(EU一般データ保護規則,独:DSGVO)は、EU域内でビジネスを行う上で避けては通れない法令です。
2018年5月25日に施行された規則(Regulation)であり、個人データの保護を自然人の基本的権利としながら、個人データのEU内の自由移動の保証を趣旨としています(GDPR 1条)。
EUには指令(Directives)と規則(Regulations)があります。これらは日本法にとっては馴染みが薄い概念ですが、これらはEU法の重要な法源です。「指令」は加盟国に対して、国内法化の義務を与えるもので、「規則」は即時に国内法と同等の効力を持ちます。
GDPRは「規則」にあたり、その適用範囲は個人データの収集、使用を行う組織と、データを提供する個人のいずれかがEUを含むEEA(欧州経済領域)に拠点を置いている場合となります。このため、GDPRが定める個人データの定義、取り扱いのルール、違反時の罰金などは、EEA内に拠点を持つ日本企業はもちろん、日本から域内にサービスを提供している企業、域内居住者の個人データの処理を行う企業など、多くの日本企業が対象になります。
なお、GDPRは原則としてEEA域外への個人データの持ち出しを禁止しますが、日本の個人情報保護法を元とする個人データ保護の取り組みがEEA域内との同等性を認められ、通常各対象企業に求められる「越境移転規制」を通過するための手続きが免除となりました。それでもGDPRの基本的な趣旨は継続的な個人情報保護の取り組みであり、越境移転規制が免除されていても引き続きGDPRが定める、データ主体の諸権利の尊重とそのための適切な取り組みを継続することが必要となります。
本記事ではGDPRの重要な要素として、適用対象、事業者が課される義務、そして違反した場合の罰則についてご紹介します。
まずはじめに、GDPRが適用対象となる「個人データ」ですが、規則では「個人に関する情報」と広く定義されています(GDPR 2条)。代表的には以下のようなデータがあげられます。
・氏名、生年月日、住所、電話番号、メールアドレス などの基本的な個人情報
・パスポート番号、運転免許証番号 などの識別情報
・IPアドレス、クッキーID などのオンライン識別子
・GPSデータ、Wi-Fiの接続履歴 などの位置情報
・クレジットカード番号、銀行口座情報、取引履歴 などの金融情報
・健康診断結果、生体認証データ などの生体情報
・人種、民族、宗教、信条、政治的意見など
個人を直接識別できる情報でなくても、他のデータと組み合わせて、つまり間接的な個人データも全てGDPRの保護対象とされています。なお、あくまで自然人が保護対象であり、法人情報などは適用外です。
GDPR5条は7つの原則を列挙しています。事業者の義務はこれらの原則に基づいています:
適法性・信義誠実性・透明性(5条1項a)
個人データは、法的根拠に基づいて適正かつ公正に取り扱われなければなりません。また、データ主体(本人)に対して、その取り扱い方法や目的が明確に示され、理解できる形で行われる必要があります。
利用目的の制限(5条1項b)
個人データは、あらかじめ明確に定められた正当な目的のためにのみ収集・利用されるべきであり、その目的と相容れない形での二次利用は原則として許されません。
データの最小化(5条1項c)
データは、利用目的に照らして「必要最小限」の範囲内で収集・処理されなければなりません。
正確性(5条1項d)
個人データは正確であることが求められ、最新の状態に保つ必要があります。利用目的に照らして誤っているデータは速やかに修正または削除することが求められます。
保存期間の制限(5条1項e)
データは、その利用目的に必要な期間を超えて、データ主体を識別できる形で記録してはいけません。ただし、89条1項に照らして許された公共目的の研究等に限り、適切な技術的及び組織的措置を講じたうえで長期保存が認められる場合があります。
保全性および機密性(5条1項f)
個人データは、不正または違法な処理、並びに、意図しない損失、破壊、毀損などから保護することを含めて、そのための技術的および組織的措置によって安全性が確保されなければなりません。
責任の所任(5条2項)
責任者は、上記の原則を遵守する責任と、遵守していることを証明できる体制・記録を整備する責任を負います。
以上の原則に基づいて、個人データを扱う事業者に求められる具体的措置として代表的なものを次に列挙します。
・個人データの取得や処理の合法性の確保(6条)
・プライバシーポリシー、Cookieポリシーの作成と遵守など、データ主体への適切な情報提供(13,14条)
・データ主体の諸権利(アクセス権、訂正権、消去権、処理制限権、データポータビリティ、異議申し立て権利など)の尊重と保護(15~22条)
・個人データの保護と適切な取扱い確保するための組織的な責任と義務(24~32条)
・個人データの侵害を認知した場合の72時間以内の当局およびデータ主体への通知義務(33,34条)
・データ保護影響評価(DPIA)の実施及び高リスクなデータ処理に関する当局との事前協義(35,36条)
・データ保護責任者(DPO)の設置義務および指名、役割、独立性に関する規則(37~39条)
・個人データの国際移転時の適切な保護を確保するための条件と手続き(44~49条)
GDPRに違反した場合は、高額な制裁金が発生します。違反の内容によって異なる二種類の制裁金が83条に設定されています。複数の違反が存在した場合は大きい方の制裁金が課されます。
・最大1,000万€または全世界売上高の2%
・最大2,000万€または全世界売上高の4%
2020年にはアパレル会社H&Mが従業員の家族、宗教、病歴などの「過度な」データを記録していたことが問題となり、ドイツのデータ保護監督当局によって3,535万€(約55億円)の制裁金を課された事例があります。
当法律事務所では、ドイツに拠点を設立しようとする日本企業向けに、データ保護基準遵守に関する包括的なサポートを提供しています。
法令のコンプライアンス、プライバシーポリシーやCookieポリシーの作成支援から訴訟対応まで、データ保護義務に関することはお気軽にご相談ください。
