EU一般データ保護規則(GDPR)の概要(後編)

はじめに

前回では、GDPRの大まかな制度の仕組みについて解説しました。
今回は、GDPRの特長である処理と移転の概要、データ保護責任者などの役割について解説します。

GDPRでの処理(Processing)とは?

GDPRでの処理(Processing)の定義とは以下のようになっています。
「処理とは、自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業または一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものにすること、整列または結合、制限、消去または破壊することをいう。」(GDPR 第4条(2))
個人情報保護のプロセスでよく定義される、取得、利用、提供、保管などに加え、参照、構造化、整列、結合といった内容まで含まれており、幅広い事項で定義されています。様々なケースが考えられますが、シンプルに「移転以外の個人データに係る何らかの処理」というようなイメージでいいと思われます。

個人データの処理(例)

  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客の連絡先詳細の変更
  • 顧客の名前の開示
  • 上長の従業員業務評価の閲覧
  • データ主体のオンライン識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

GDPRでの移転(Transfer)とは?

GDPRにおいて移転(Transfer)の定義は今のところなされていないのが現状です。
ただし、用語自体はGDPR内で頻繁に使用されていることや、第5章「第三国または国際機関への個人データ移転」の中でいくつか条文(第44条~第50条)もあることから、イメージは掴み易いと思います。基本的な考え方として、移転とは「EEA内の個人データをEEA外になんらかの形式で移動する」といったものであると思われます。

個人データの処理(例)

  • EEA内から個人データを含んだ電子形式の文書を電子メールで EEA 外に送付する
  • EEA内の子会社から従業員個人データをEEA外の親会社に移転する
  • EEA内のクラウド事業者がEEA内で取得した個人データをEEA外のクラウド事業者に再委託する

個人データ移転の法的要件

EEA外への個人データ移転については、移転先の国、地域が十分に個人データ保護を講じている場合においてのみ認められており(GDPR第45条)、現時点で日本は十分に個人データ保護を実施している国とは認められていないことから、標準契約条項(Standard Contractual Clauses:SCC)の締結、もしくは拘束的企業準則(Binding Corporate Rules:BCR)の承認などが必要になります。

図1:EEA外への個人データ移転に係るフロー

図1:EEA外への個人データ移転に係るフロー

SCCとはEEA内の個人データをEEA外に移転する場合の当事者間の契約書雛形であり、欧州委員会によって定められているものです。SCCを締結することで個人データ移転を適法にEEA外に行うことが可能になりますが、個人データを移転する側、移転される側、双方に契約義務を履行できる体制を整える必要があります。

SCCの契約種別には現時点で以下のようなものがあります。

表1:SCC契約種別
移転する側 移転される側 状況 現在のSCCセット
管理者 管理者 個人データがEEAの管理者からEEA外の管理者へ移転される場合 2セットのSCCがある
・2001年SCC(EC Decision 2001/497/EC)
・2004年SCC(EC Decision 2004/915/EC)
管理者 処理者 個人データがEEA内の管理者からEEA外の処理者へ移転される場合 ・2010年SCC(EC Decision 2010/87/EC)
処理者 復処理者※1 個人データがまずEEA内で管理者から処理者へ移され、その後、処理者からEEA外にいる復処理者へ移転される場合 第29条作業部会は2014年3月、「処理者-復処理者 SCC」案を提案した(WP214)。しかし、欧州委員会はこれをまだ承認していない。欧州委員会は2017年1月の政策文書の中で処理者-復処理者のSCC案を承認する予定がある旨を公表している。

※1 処理者から委任を受け、処理者の代理として指示範囲内の中で個人データを処理する者

SCCが当事者間の契約締結であることに対して、BCRでは監督機関の承認を得て事業者グループ内でのデータ移転が可能な手法になります。 承認されたBCRを事業者グループが遵守している限り、複数国のグループ内でデータ移転が可能になるものです。GDPRでの定義としては以下になります。

GDPR 第4条 定義(20)拘束的企業準則:BCR

「拘束的企業準則(Binding Corporate Rules: BCR)」とは、「事業者グループまたは共同経済活動に従事する事業者グループ内で、1 ヵ国または複数の EU 外の第 3 国の管理者または処理者に向けて個人データ移転または一連の個人データ移転のため、EU 加盟国の領域上にある管理者または処理者によって遵守される個人データ保護方針をいう」

BCRでは監督機関の承認が必要と説明しましたが、承認する際の要求事項はGDPR第47条「拘束的企業準則」に記載されています。長いのでココでは割愛しますが、ざっくりまとめると以下のような事項を求めているようです。

GDPR 第47条 拘束的企業準則(BCR)で求められる主な内容(超訳)

  • 体制と連絡先整備しろ
  • 個人データの処理と移転をどうするのかはっきりしろ
  • 国内法と国外法の法的拘束性も忘れるな
  • 個人データのセキュリティ対策キチンとしろ
  • 個人データ主体の権利、履行手段、通知手段など整備しろ
  • EEA内に拠点無くても違反したら管理者と処理者の責任な
  • 個人データ主体の不服申し立てとかの手続きとか権利とかちゃんと整備しろ
  • 適用範囲内の全てのメンバーがBCR守れるように訓練しろ
  • 監査とかやって有効性の検証しろチェックするぞ
  • 規定変更とかしたら記録して報告しろ
  • 監督機関への報告手続き整備しろ
  • 個人データ取扱者の教育訓練忘れるな

これらのBCRは監督機関の承認が必要なため、承認を得るためには実際に定めた規則で体制や運用が実施されているか審査が行われると予想されます。規則、手順、運用記録の整備から、場合によっては現地審査による物理的環境の確認も行われる可能性もあるため、BCRでの対応を考えている場合は早めに監督機関との情報連携を行い、対応する必要があると考えられます。
日本では2016年12月に、日本企業で初めて楽天株式会社がBCR承認をルクセンブルクのデータ保護機関から受けたと報道がありました。2014年中頃から対応を進めてきたと報道されているように、対応にはそれなりの期間と労力が必要になると考えられます。

EEA内に拠点が無い場合の代理人(Representatives)とは?

EEA内に拠点を持たないが、EEA外からサービスなどを提供し、個人データの取扱いが発生する場合には、代理人(Representatives)を選任しなければならない可能性があります。(GDPR 第27条)
代理人はEEA内に拠点を設け、管理者または処理者によって委任される必要があります。

GDPR 第27条 EEA内に拠点のない管理者または処理者の代理人の主な内容

  • 代理人は、データ主体が居住し、当該データ主体への商品やサービスの提供に関連して当該データ主体の個人データが処理されるか、または当該データ主体の行動が監視される加盟国の一つに拠点を持たなければならない。
  • 代理人は、本規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者若しくは取扱者とともにまたは代わりに、特に、監督機関及びデータ主体と対話をするため、管理者または取扱者によって委任されなければならない。

GDPR 第27条には代理人を選任しなくてもよい適用外措置も記載してあります。
例えば日本の民間事業者では、クラウドサービス、ECサービス、観光サービス、宿泊(民泊)サービスなどが対象になる可能性がありますが、明確にEEAを対象にしたサービスで無い場合も多く、特に小規模で運営しているようなサービス事業者に対して、どこまで対応しなければならないのかはまだ不明点が多い状況です。
適用外措置の記載内容およびガイドラインなどの情報を確認し、適用の可能性が高いと判断した場合には代理人を選任する必要があります。

GDPR 第27条 代理人選任適用外の内容

  • 第 9 条第 1 項で定める特別な種類のデータの取扱いまたは第 10 条で定める有罪判決及び犯罪に関する個人データの取扱いを大規模に含まず、取扱いの性質、文脈、範囲及び目的を考慮して自然人の権利または自由に対するリスクが生じそうにない、散発的になされる取扱い。
  • 公的機関または団体。

図2:代理人選任のフロー図

図2:代理人選任のフロー図

データ保護責任者(Data Protection Officer:DPO)とは?

データ保護責任者(Data Protection Officer:DPO)とは、個人データの処理、移転に関して管理・監督する責任者と言える立場にある人を指します。イメージとしてはPマーク(個人情報保護マネジメントシステム JIS Q 15001:2006)の個人情報保護管理者に似ていますが、GDPRでは役割、地位、業務内容が強化された内容になっています。

GDPRではDPOの選任は必須ではありませんが、個人データを取り扱う管理者及び処理者が、次に掲げるいずれかの場合には、DPOの選任を義務付けております。(GDPR 第37条)

GDPR 第37条 データ保護責任者の選任 で求められる選任条件の主な内容

  • 処理が公的機関または団体によって行われる場合(ただし、司法能力をもとにした裁判所の行為を除く)
  • 管理者または処理者の中心的業務が、その性質、適用範囲及び/または目的によって、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合
  • 管理者または処理者の中心的業務が、第9条で言及された特別な種類のデータおよび第10条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合
  • EU法または加盟国の国内法でDPOの選任が義務付けられている場合

大規模でかつ継続的に個人データの処理や移転を行う場合にはDPOの選任は必要不可欠であると言えます。また、個人データの取扱いが小規模であったとしても、DPOガイドライン(Guidelines on Data Protection Officers ('DPOs'))ではDPO任命を推奨しているようなので、迷った場合はDPO選任を前提として準備を進めた方が望ましいと考えれらます。

データ保護責任者(Data Protection Officer:DPO)の地位と業務

DPOの地位はGDPR 第38条で定められており、個人データ処理者もしくは管理者とは連携しつつも、独立した立場でチェック機能も有するような記載になっております。具体的には次のような項目になります。

GDPR 第38条 データ保護責任者の地位

  • 管理者および処理者は、データ保護責任者が個人データ保護に関するすべての問題に、適切かつ直ちに関与できることを確実にしなければならない。
  • 管理者及び処理者は、第 39 条で定める業務遂行においてデータ保護責任者を支援しなければならず、その支援は、当該業務の実行、個人データ及び取扱い作業へのアクセス、およびデータ保護責任者の専門知識を維持するのに必要な資源を提供することによってなされるものとする。
  • 管理者または処理者はデータ保護責任者がその業務の遂行に関してあらゆる指図を受けないことを確実にしなければならない。当該データ保護責任者は管理者または処理者によって当該データ保護責任者の業務遂行に関して解雇または罰則を受けることがあってはならない。
    データ保護責任者は管理者または処理者の最高レベルの経営者に直接報告するものとする。
  • データ主体はデータ主体の個人データの取扱い及び本規則に基づく権利の履行に関するすべての問題に関してデータ保護責任者に連絡を取ることができる。
  • データ保護責任者は、EU 法または加盟国の国内法に従って、データ保護責任者の業務に関連した秘密または機密を守らなければならない。
  • データ保護責任者は他の業務または義務を遂行することができる。管理者または処理者は当該業務及び義務が利益相反を招かないよう確保しなければならない。

以上のようにDPOは独立性が保障されるように要求されており、DPOの業務遂行に指示を受けないよう管理者もしくは処理者は対応する必要があります。DPOは他の業務を担当することも可能ですが、利益相反を招かない場合に限られており、経営層クラスのポジションでの兼務は利益相反となるので注意が必要です。

DPOの業務はGDPR 第39条で定められています。独立した権限と地位があるだけに、その業務内容も多様です。

GDPR 第39条 データ保護責任者の業務

  • 管理者または処理者および処理を実施する従業員に本規則およびその他 EU または加盟国のデータ保護規定による義務を通知および勧告すること。
  • 本規則、その他 EU または加盟国のデータ保護条項、および個人データの保護に関して管理者または処理者が設定した方針の遵守の監視。責任の割り当て、取扱い作業にかかわる職員の意識の向上および訓練、並びに関連する監査を含む。
  • 要請があれば、第 35 条によるデータ保護影響評価に関する助言の提供およびその遂行の監視。
  • 監督機関との協働。
  • 取扱いに関する問題について監督機関との問い合わせ先となること。第 36 条で定める事前協議、適切な場合、その他事項に関連する協議を含む。
  • データ保護責任者は、その業務の遂行において、取扱いの性質、文脈および目的を考慮し、取扱い作業に関するリスクに当然に注意を払わなければならない。

この内容を読むと、監督機関との協働や義務の通知、勧告、監視、問い合わせ窓口、教育訓練、監査、リスクコントロールなど、かなりの業務負担が要求される「何でも屋」に近いイメージがあります。
独立した権限と地位、高い(と予想される)業務負担を考慮すると、DPOの選任は慎重に実施する必要があると思われます。恐らく監督機関とのやりとりで語学力も必要になってくるでしょう。

GDPRに違反した場合の制裁について

GDPRに違反した場合の上限額については、次の2パターンのうち、いずれかの制裁金を支払う必要があります。(GDPR 第83条 制裁金の一般条件の一部抜粋)

制裁金の上限(GDPR 第83条)

  • 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方。
  • 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方。

どちらの適用になるかは義務違反の類型によって異なります。
また、違反に対しては常に巨額の制裁金が課せられるわけではなく、警告、命令、懲戒などのプロセスを踏まえ、違反の性質、重大さ、期間、影響を受けたデータ主体数、損害レベルなどにより変動します。詳細についてはGDPR 第83条 制裁金の一般条件を参照してください。

制裁金の例

公的機関の場合、通常は売上高に該当するものがないため、上限額としては1,000万ユーロ以下か 2,000万ユーロ以下という 2つの類型の制裁金制度ということになる。
前会計年度の全世界年間売上高が100億円の企業グループの場合、売上高の4%は4億円だが2,000万ユーロ(約22億6,000万円。1ユーロ=113円として換算)の方が「高い方」に当たるため、制裁金の上限額は 20億円を超えるレベルになる。

参考文献

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治