EU一般データ保護規則(GDPR)の概要(前編)

はじめに

相次ぐ個人情報漏えいの報道がなされる中で、改正個人情報保護法が2017年5月30日に全面施行されました。約10年ぶりの改正とあって、その内容も個人情報保護の強化と適切な取扱いの整備を中心に、グローバル化が進む個人情報の取扱いについても言及しているものとなっています。
その一方で、海外でも個人情報保護の重要性については早くから認識しており、例えばEUでは1995年に加盟国の個人情報保護における法制度の共通化を求めた「データ保護指令(Directive 95/46/EC)」を採択し、日本の個人情報保護法にも影響を与えた内容となっています。
このデータ保護指令(Directive 95/46/EC)が新たに「一般データ保護規則(General Data Protection Regulation:GDPR)」として2018年5月から適用開始となることが決定しており、EU域外の国でも多大な影響を与える可能性があるものとなっています。
本コラムでは、このGDPRとはいったいどのような法規則なのか、これから対応する可能性のある方向けに分かりやすく解説していきたいと思います。

1. EU一般データ保護規則(GDPR)とは?

「EU一般データ保護規則(General Data Protection Regulation:GDPR)」は、欧州経済領域(European Economic Area:EEA=EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)の個人データ保護を目的とした管理規則であり、個人データの移転と処理について法的要件が定められているものです。その主な内容を簡単にまとめると以下のようになります。

  • 2018年5月25日から適用開始
  • 個人データの保護に対する権利という基本的人権の保護を目的とした法律(EU基本権憲章)
  • 適正な管理が必要とされ、違反には厳しい行政罰が定められている
  • EEA内に支店、現地法人などが無くても、ネット取引などでEEA所在者の個人データをやり取りする場合は対象になる
  • 組織の規模、公的機関、非営利団体等関係なく対象となる(中小零細企業でも対象だが一部例外措置あり)
  • 個人データの取扱い状況によってはデータ保護責任者(Data Protection Officer:DPO)やEEA内に代理人(Representative)の選任が必要になる

2. GDPRの目的

GDPRの目的はどのようなものでしょうか?本質的な解釈としては「EEA内の各人が自身で自身の個人データをコントロールする権利を保障する」といったことであると思われます。この目的の実現には、多様な加盟国が遵守できるシンプルなルールの整備や統一化、違反した場合の制裁強化が必要になります。
現行法であるデータ保護指令(Directive 95/46/EC)では、具体的な個人データの規制はEUの各加盟国法に委ねられているため、各国間で差異があり、ビジネス上の障害となっていることからルールの統一が必要となっていました。さらに、グローバル化する個人データの移転、処理、保管が進む中で、プライバシー保護の強化と利用に関するルール整備、制裁の強化による法令遵守と適正管理が必要でした。

EUデータ保護指令(Directive 95/46/EC)

  • 1995年10月24日から2018年5月24日まで
  • 加盟国ごとに個人データ保護法は異なる
  • 第29条作業部会(Article 29 Working Party)が、特定の問題に関して共通の解釈と分析を提供し、EU加盟国のデータ保護法の解釈にある程度の調和をもたらす。
  • 限られた法的執行と制裁
 

EU一般データ保護規則(GDPR)

  • 2018年5月25日から適用開始
  • 原則として各加盟国の個人データ保護法は廃止
  • 範囲の拡大
  • 個人データ保護の調和と統一性の強化
  • 企業に対して新たな説明責任を導入
  • 個人の権利を強化
  • 制裁と執行を強化

3. GDPRでの個人データ(Personal Data)とは?

GDPRでの個人データ(Personal Data)の定義は以下のようになっています。
「個人データとは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、または当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つ、もしくは複数の要素を参照することによって、直接的にまたは間接的に、識別され得る者をいう。」(GDPR 第4条)
例えば以下のような情報が考えられますが、具体的なガイドラインは第29条作業部会(Article 29 Working Party)が作成中であり、定義の詳細や業種業態ごとの管理手法について不明点がまだ多い段階です。

個人データ(例)

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー)
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

4. GDPRでの保護対象となる個人データの範囲とは?

GDPRの保護対象となる個人データとは、EEA内に所在する個人(国籍や居住地などを問わない)の個人データとなります。ここまでは分かりやすいのですが、更に以下のような条件でも保護対象の個人データになるようなので注意が必要です。(GDPR 第2条、第3条、第44条~第50条)

  • 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
  • 日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
  • 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
  • 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

GDPRで保護対象となる個人データについてもさまざまなケースが想定されるため、ガイドラインの発行を待って対応するよりも、可能性のある段階で対応の準備を進める方がいいと思います。

5. GDPRの適用範囲とは?

GDPRの適用範囲は主に以下のように定義されています。GDPRの大きな特徴として、EEA内に拠点(establishment)を持たなくても、EEA内の個人に対して商品、サービスを提供し、個人データを処理、または監視する管理者(Controller)、処理者(Processor)にも適応されるので注意が必要です。(GDPR 第2条及び第3条)

  • GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される。
  • GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。
    • EEAのデータ主体に対し商品又はサービスを提供する場合
    • EEAのデータ主体の行動を監視する場合

ここで定義されている管理者と処理者の関係性については以下のようになります。

例えば、日本に本社があるウェブサイトで、EEA所在者に対して商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は、本社に対してGDPRが直接、適用される可能性があることに注意が必要です。

参考文献

今回はGDPRの大まかな制度の仕組みについて説明しました。
次回は個人データの処理と移転の概要などについて説明したいと思います。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治