去る2018年5月25日,EUのGDPR(一般データ保護規則)が施行されました。
本コラムは,GDPRの概要や特徴についてできる限り分かりやすく概要を伝える目的でお送りするものです。日本語訳については,個人情報保護委員会による翻訳を参考としていますが,正確な条文については原文をご参照下さい。
GDPRとは?
GDPRは元々EUにあった個人情報の保護とデータ利用に関するデータ保護指令(Council Directive95/46)と呼ばれる個人情報保護規制にとって代わるものです。GDPRが先代の指令と異なるのは,指令(Directive)という法形式ではなく,規則(Regulation)という形をとったことにより,EU加盟国の個別の立法がなくとも加盟国の個人や企業に対して直接に適用がなされる点です。先代のDirectiveは加盟国それぞれによる立法を大前提としていましたが,GDPRは,個人情報保護規制の「均質かつ一貫性のある適用」(GDPR 前文(Recital)10)のため,直接加盟国に対して適用されることになります。
また,先代の指令の流れを汲みつつも,個人のプライバシーや情報に関して基本的人権をより強力に保護する観点から,データ主体が有する権利を拡大・強化し,データの管理者等に対して高い水準のデータ保護義務を課しています。また,EU域内から域外の第三国へデータを移転する場合に満たすべき義務に関しても規定しています。
GDPR対応の重要性
EUだけではなく日本を含め世界中の企業においてGDPR対応が急がれています。なぜGDPRに対応することがここまで重要と考えられているのでしょうか。
1 非常に高額になり得る制裁金
第1に高額な制裁金が挙げられます。個人の権利をより強力に保護する趣旨から,GDPRの規定違反には非常に高額の制裁金が用意されています。特に同意条件やその他GDPRの基本原則に違反する違反に関しては,2000万ユーロ以下もしくは,直前の会計年度における世界全体における売上総額の4%以下の金額のいずれか高額な方を上限とするという制裁金が用意されています(GDPR第83条)。
EUにおける売上だけではなく,世界全体を基準としている点,利益ではなく売上を基準としている点で,非常に高額になり得ます。また,4%という基準についても,非常に高額と言えます。例えば,最近Google を運営する米Alphabetが,欧州員会によりEU独占禁止法違反を理由として14億9000万ユーロという巨額の制裁金が命じられたことがニュースとなりましたが(EU,Googleに15億ユーロ(約1900億円)の制裁金),この制裁金の金額でもGoogleの2018年の売上の1.29%相当です。世界売上の4%という数字がいかに巨額になり得るかが分かります。
GDPRは制裁金を判断するにあたっては多様な要素を考慮に入れるべき旨規定しています。代表的な考慮要素としては,違反行為の重大性,期間,被害者の数や損害の程度,違反行為の故意・過失の別,管理者による損害軽減措置の有無,過去の違反の状況等です。制裁金はあくまで「効果的であり,比例的であり,かつ抑止力がある」(“effective, proportionate and dissuasive”(第83条1項))範囲で課されるものでなければなりませんが(いわゆる比例原則),数多くの考慮要素が法定されており,判断権者の裁量が広いことから,恣意的に制裁金の金額が高額になる懸念も指摘されています。
既にGDPRに基づき,Googleがフランス当局から5000万ユーロの制裁金を科されたという事件がありました(グーグル,GDPR違反で制裁金62億円)。Googleが不服申立てをしているとの報道があるため,これがそのまま維持されるかは不透明ですが,制裁金についての相場や推移については今後の動向を見守る必要があります。
2 広い適用範囲
GDPRは,EU以外に本拠地を置く会社に対しても適用がある可能性が十分にあります。広い地理的適用範囲は,高額な制裁金とともに,世界中の企業にてGDPR対応が急がれている理由の一つです。
地理的な適用範囲に関しては,GDPR第3条に規定があります。二つの基準に基づいてGDPRの適用範囲を定めており,それぞれ「拠点」基準(第3条1項),及び「標的」基準(第3条2項)と呼ばれています。対象となるデータの取扱いがいずれかに該当する場合には,GDPRも基準が適用されることになります。
A「拠点」(Establishment)基準
GDPR第3条1項は次の通り規定しています。
|
上の規定はデータ取扱いが実際に行われる場所はGDPRの適用の有無の判断には関係がないこと,EU 域内の管理者又は処理者の拠点の活動の過程における取扱いに対してGDPRが適用されることを明らかにしています。
「EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱い」という文言が分かりにくいかもしれませんが,欧州データ保護会議作成のガイドラインは以下の3つの要素を検討することが必要となると解説しています。
(1) 「EU域内の拠点」があるか
まず,問題となっている管理者又は処理者がEU内に拠点を有しているかを問うことになります。GDPRには「拠点」という言葉の定義自体はありません。しかし,前文(Recital)第22項は,「拠点」の意味につき,安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味し,法的形式(法人格があるかないか等)は決定的な要素ではないと説明しています。すなわち,EU内での拠点の有無は実質的に判断され,法人がEU域内にある場合にはこの要件については満たされる可能性が高い一方,法人がない場合においても実態に応じて拠点があると判断される可能性が残ります。
なお,特に主にインターネットを通じてサービスを提供する会社に関しては,「安定的な仕組み」の有無について緩やかに判断される可能性が指摘されています(ガイドライン)。
(2) 「活動の過程における」データ取扱いがあるか
EU内に拠点があると判断された場合,次に,問題となっているデータ取扱いが当該拠点の活動の過程において実施されているものかを判断する必要があります。
ここで重要なのはデータの取扱い自体が当該拠点にて行われる必要はなく,「拠点の活動の過程における」データ取扱いが存在すれば,その取扱いが世界中のどこで行われていてもGDPRの適用がある点です。ガイドラインにおいてもケースバイケースの判断が必要になるとされていますが,EU 域内の拠点の活動とEU 域外の管理者によるデータの取扱いが密接に関連していることが明らかになった場合,当該EU 域外の組織による取扱いにGDPRが適用されることになります。
(3) データの取扱いがEU域内で行われるかどうかは関係がないこと
上述の通り,「拠点」基準を検討する上で実際のデータの取扱いが行われている場所は関係がありません。拠点を通じてEUの域内においてデータ管理者又は処理者が存在し,かつ,データの取扱いが当該拠点の活動の課程において行われていれば,GDPRは適用されることになります。「拠点」がデータの取扱いを行なっているかどうかは関係がありません。
B「標的」(Targeting)基準
EU内に「拠点」を有していなかったとしても,第3条2項の定めに該当する場合にもGDPRの適用を受けます。
|
本条文を整理すると,「標的」基準の下では,
- データの取扱いが,EU域内のデータ主体の個人データに関するものであるか,
- データ取扱いが,EU 域内のデータ主体に対する物品若しくはサービスの提供,又はEU域内のデータ主体の行動の監視に関連するか
という2段階の検討が必要となります。
それぞれの要件について概要を解説します。
(1) データ取扱いがEU域内のデータ主体に関するものであるか
条文上「EU域内のデータ主体」との言葉が出てきますが,「データ主体」とは個人情報によって特定される本人のことを言います(GDPR第4条1項)。また,「EU域内の」という文言につき,データ主体がEU内に一定の期間居住していることは要件とされていませんし,データ主体の国籍や市民権などの法的地位によっても左右されないと考えられています。したがって,データ主体が物理的にEU内に存在すれば該当するはずなので,EUの旅行者も本条の対象となり得ます。
この要件は,適用の根拠となる関連活動が行われた時点で評価されると理解されています。
(2) データ取扱いがEU 域内のデータ主体に対する物品又はサービスの提供 若しくは EU域内のデータ主体の行動の監視に関連するか
EU域内の個人の個人データを扱っているというだけでは,GDPRの適用はありません。本基準が「標的」基準と呼ばれるのは,管理者ないし処理者が,物品もしくはサービスの提供又は行動の監視によりEU域内の個人を「標的」としていることが必要となるからです。
物品又はサービスの提供に関してはともかくとして,データ主体の行動の監視に関する具体的な例は思いつきにくいかもしれません。例えば,EU域内でデータ主体の位置情報などからレストラン情報を教えてくれるスマートフォンアプリによる個人情報の収集,処理などがこれに該当することになります。
次回以降は,GDPRの規定の特徴について,解説します。
(文責:山村真登)