情報セキュリティマネジメント

日本の企業にGDPRが域外適用されるケース

弁護士 石田 優一

 

今回のテーマは,日本の企業が気をつけなければならないGDPR(一般データ保護規則)のポイントです。

GDPRは,EU域内に拠点を持たない企業にとっても無縁ではありません。なぜなら,GDPRでは,EU域外にしか拠点がない場合にもルールを適用する「域外適用」があるからです。

今回のコラムでは,日本の十分性認定に向けた動きにも触れながら,GDPRに対して日本企業がどのような対応をしなければならないのかについて取り上げます。


1 はじめに

 

平成30年5月25日,EUにおいてGDPR(一般データ保護規則)の適用が開始されました。GDPRでは,EU域内の個人データの処理や移転について,厳格なルールが定められ,違反した事業者等に高額な制裁金を課するルールも定められていることから,適用対象となる企業は,重点的な対応を迫られることになりました。

 

一見すれば,GDPRはあくまでもEUの話で,EUに拠点のない企業には関係のないルールのように思えます。しかし,たとえEUに拠点がない企業であっても,インターネットを通じてサービスを展開する企業にとっては,大いに関係のある問題です。

 

例えば,全国でホテル事業を営んでいる日本の会社が,フランス,イタリア,ドイツに向けた特設サイトを新設し,各国のユーザーに対してホテル予約サービスを開始したとします。その際に,(1)メールアドレスを登録させて各ホテルからおすすめ情報をメール配信する仕様や,(2)ユーザーが閲覧したホテルを記録したうえでユーザーのホテルの好みを分析してターゲティング広告をサイトに表示する仕様を設けたような場合,GDPRの適用対象になり得ます。

 

インターネットに国境の垣根はないために,思いもよらないところでGDPRの適用対象になってしまうケースがあります。

 

平成30年9月5日,EUの欧州委員会は,新たに日本の「十分性認定」を行うための手続に入りました。GDPRでは,EU域内の個人データを十分性認定を受けていない国に対して移転させることが原則禁止され,例外的に適法に移転させるためには,データ主体(本人)の明示的な同意を得るか,GDPRが定める厳格な手続を踏まなければなりません(越境移転規制)。日本が十分性認定を受けることができれば,EU域内の拠点から日本の拠点に対する個人データの移転を容易に行えるようになり,ビジネスチャンスが大きく拡大することが期待されています。

 

ただ,気をつけなければならないのは,日本の企業にGDPRが適用されるかどうかという問題と,日本が十分性認定を受けることは,あくまで別の話であるという点です。先ほど取り上げた事例の場合,たとえ日本が十分性認定を受けたとしても,やはり,GDPRの適用を受けることに変わりはありません。

 

日本が十分性認定を受けることで,日本の企業がGDPRと無縁になるわけではありません。むしろ,日本とEUとの間で個人データのやりとりが多くなる結果,EU当局から日本に対する監督が従前よりも厳しくなり,日本の企業も制裁の対象になっていくのではないかという見方もできます。

 

これから,2020年の東京オリンピック開催に向けて,日本からEU諸国を含む海外に向けたサービス展開も盛んになっていくことが予想されます。そのようなサービス展開を検討している企業は,GDPRについても常に意識しておくことが必要です。

 

2 GDPRとは?

 

(1) 概要

 

ここからは,GDPRとはどのようなルールかについて,ポイントをしぼって,説明いたします。

 

GDPRでは,EU域内の個人データについてデータ主体の権利を定めるとともに,個人データの処理やEU域外への移転について,厳格なルールを定めています。特に,EU域内の個人データを,十分性認定を受けていない国に移転するためには,原則としてGDPRが定めるいずれかの厳格な保護措置を講じなければなりませんが,いずれも時間とコストを要するもので,高いハードルがあります。

 

EUには,もともと,個人データに関するルールとして,EUデータ保護指令というものがありました。ただ,このルールは,それぞれの国で法律の形にすることで初めて法的拘束力を持つ「指令」として制定されたために,国ごとにルールが不統一となり,複数の加盟国で事業展開する企業にとって負担のかかるものとなっていました。GDPRは,それ自体が法的拘束力を持つ「規則」として制定され,加盟国共通のルールを定めたことに,大きな意義があります。

 

GDPRのもう1つの意義は,違反に対して高額な制裁金を課するルールを導入したことにあります。違反に対する制裁金の額は事案によって異なりますが,最大で2000万ユーロ,又は,前会計年度の全世界売上高の4パーセントのいずれか高額な方の金額が課せられます。高額な制裁金によって,企業生命を脅かされるおそれもあります。

 

GDPRで認められるデータ主体の権利は,日本の個人情報保護法で認められる権利と類似したものも多いです。ただ,GDPRのほうが日本の個人情報保護法よりも保護が手厚く,データポータビリティ権や,プロファイリングに対する規制といった,日本ではまだ認めていない「新しい権利」も,保障の対象になっています。

 

また,GDPRは,日本の個人情報保護法よりも,データ主体の「同意」に対して慎重な考え方を持っています。日本の個人情報保護法の場合は,本人の同意があれば多くの規制が適用除外となり,同意の方法についても法律レベルでは特段のルールを定めていません。一方,GDPRの場合,同意の方法について厳格なルールを定め,「それ以外の方法による同意は認めない」という厳しい態度をとっています。「とりあえず本人の同意さえあれば・・・」という日本の常識が通用しないのが,GDPRの難しいところです。

 

(2) EU域内に拠点がない企業にもGDPRが適用されうる

 

GDPRは,EU域内に拠点がない場合にも,次のいずれかの場合においては適用対象となります(域外適用)。

 

a) EU域内に所在するデータ主体に対する商品・役務の提供に関連する個人データの処理

 

例えば,商品・サービスの販売を目的とした日本発信のインターネットサイトにおいて,EU向けのページを設けた場合,そのページのフォームに閲覧者が入力するなどして取得した個人データは,GDPRの適用対象になり得ます。

 

b) EU域内で行われるデータ主体の行動のモニタリングに関連する個人データの処理

 

例えば,EU域内のインターネットサイト閲覧者がどのページを閲覧しているかを追跡・記録して,そこから閲覧者の好みや関心等を分析した場合,GDPRの適用対象になり得ます。GDPRでは,日本においては個人情報として取り扱われないIPアドレスやCookieの情報等も個人データとして取り扱われるので,たとえ閲覧者の氏名等の情報を取得しなくてもGDPRの適用対象になりうることに注意が必要です。

 

GDPRが適用される場合のルールについては,後ほど詳しく説明します。

 

(3) 越境移転規制

 

GDPRでは,EU域内の拠点(管理者・処理者)から十分性認定を受けていない国に対してEU域内の個人データを移転させることは,原則として禁止されています。例外的に移転が認められるのは,データ主体の明示的同意がある場合や,契約の履行等の特定の必要性が認められるような場合を除いては,拘束的企業準則や標準データ保護条項といったGDPRに基づく厳格なルールを遵守している場合に限られます。データ主体の明示的同意も,日本の個人情報保護法でいう同意と比較して格段に厳格で,かつ,データ主体による撤回が認められるため,企業にとって使いづらいものです。

 

以上のような理由から,EU域内の拠点から十分性認定を受けていない国に対してEU域内の個人データを移転させることには,高いハードルがあります。

 

日本が十分性認定を受けた場合,EU域内の拠点から日本への個人データの移転について,このような高いハードルが取り払われることになります。そして,域外適用が認められる場合でなければ,個人データを取得した日本の企業には,GDPRのルールは適用されません。ただ,日本の個人情報保護法は,GDPRよりも規制が緩いことから,このままでは,個人データを移転されたデータ主体が不利益を負ってしまいます。

 

そこで,日本の個人情報保護委員会は,EU域内から十分性認定によって移転を受けた個人データについて,補完的ルールを定めて,通常よりも規制を強化する取扱いをする方向で調整しています。十分性認定の可否は,このような補完的ルールの内容も踏まえて判断されることになります。

 

補完的ルールには,例えば,次のようなことが定められています。

 

a) 個人データのうち,性生活,性的指向や労働組合に関する情報を,要配慮個人情報に含めること

(GDPRでセンシティブ情報として取り扱われているため)

 

b) 消去までの期間が6か月未満の個人データについても保有個人データとして開示請求・訂正請求等の対象とすること

(GDPRでは消去までの期間の長短による制限がないため)

 

c) EU域内から個人データの提供を受ける場合には,個人データの提供を受ける際に特定された利用目的も含めて取得の経緯を確認・記録しなければならず,かつ,その利用目的の範囲内で利用しなければならないこと

(GDPRは日本の個人情報の取扱い等のルールよりも厳格であるため)

 

今後,十分性認定によってEU域内から個人データの提供を受けられるようになった場合,たとえGDPRが適用されないケースであっても,通常の個人情報とは異なる取扱いをしなければならないことに注意が必要です。

 

3 GDPRが適用される場合のルール

 

(1) GDPRの域外適用

 

先ほど取り上げたように,EU域内に拠点がない企業であってもGDPRが適用されることがありますが,このような場合も,GDPRに基づいて,EU域内にある企業と同様の義務を負うことになります。

 

(2) 個人データの適法な処理のための要件

 

EU域内の個人データを処理するためには,GDPRに定められる適法化事由が必要です。日本の企業に関係する主な適法化事由は,次のとおりです。

 

a) データ主体が特定の目的のために個人データの処理に同意した場合

 

データ主体の同意があれば適法に個人データを処理することができますが,ここでいう同意は,日本の個人情報保護法の場合よりも厳格です。後ほど,詳しく取り上げます。

 

b) データ主体が当事者である契約の履行のために個人データの処理が必要な場合や,契約締結前のデータ主体の求めに応じて手続をとるために個人データの処理が必要な場合

 

データ主体と売買契約を締結した場合に,商品を指定の住所に送付するような場合が該当します。

 

c) 管理者等によって追求される正当な利益のために処理が必要な場合

 

データ主体の合理的期待を勘案してデータ主体の利益や基本的権利・自由が優先しないことが必要であり,管理者等の正当な利益とデータ主体の基本的権利・自由を比較衡量して検討しなければなりません。

 

(3) データ主体の同意による場合

 

GDPRでは,データ主体の同意について厳格なルールが定められており,要件を満たさなければ有効な同意として認められません。この点は,日本の個人情報保護法とは大きく異なっていますので,注意が必要です。

 

第1に,同意は「自由に与えられた」ものでなければなりません。例えば,ホテル予約サイトにおいて,広告メールを配信するためにメールアドレスを登録しなければ「ホテルの予約ができない」「割引料金が適用されない」等の条件を付けて同意させた場合,「自由に与えられた」とはいえません。

 

第2に,同意は「特定の目的」についてされなければなりません。例えば,「ホテルの予約と広告メールの配信のために登録されたメールアドレスを利用することに同意します」と1つのチェックボックスで承諾させることは,複数の異なる目的について一緒に同意させることになり,特定性を欠いています。

 

第3に,同意は「情報提供を受けた」うえでされなければなりません。情報提供の項目は,GDPR13条・14条で定められています。情報提供は,他の契約内容とは区別して表示し,対象者の年齢等にも配慮して,分かりやすい説明を心がける必要があります。

 

第4に,同意は「不明確でない」ことが必要です。例えば,「同意しない場合はチェックボックスを外してください」という表示方法では,データ主体が本当に確認をしたかどうか判然としないため,不明確でないとはいえません。

 

第5に,データ主体には,同意をいつでも撤回することができる権利があり,同意の撤回は同意と同程度に容易でなければなりません。例えば,ホテル予約サイトの例でいえば,少なくとも,サイト上から簡単な操作で同意を撤回できる仕様にしておく必要があります。

 

このように,GDPRでは,データ主体から同意を得る方法について厳しいルールがあるため,慎重な検討が必要です。

 

(4) 日本の個人情報保護法では認められていない権利

 

ア データポータビリティ権

 

GDPRでは,データ主体に対し,データポータビリティ権が認められています。

データポータビリティ権とは,個人データを,「構造化されて一般的に利用され,機械可読性のある形式」で受け取る権利や,個人データを提供した管理者から妨げられることなく当該個人データを他の管理者に移行する権利のことです。

 

例えば,同業他社のサービスに乗り換える際に,旧サービスで利用していたデータを新サービスに引継ぎ可能な形式で受け取ったり,旧サービスから新サービスに直接データを移行してもらったりすることが,データポータビリティに該当します。

 

データ主体が同意するか,管理者と契約したうえで,自動化された手段によって取扱いがなされている個人データについては,データポータビリティ権が認められます。

 

SNSや音楽配信サービス等,ユーザーが同業他社のサービスに移行することが想定されるサービスを提供している場合には,データポータビリティが可能になるような仕様を検討しなければなりません。なお,データのフォーマット形式は,XMLやCSVのような汎用性のあるものが望ましいとされています。

 

イ プロファイリングを含む専ら自動化された決定の対象とされない権利

 

GDPRでは,プロファイリングを含む専ら自動化された決定の対象とされない権利が認められています。プロファイリングとは,「自然人に関する一定の個人的な側面を評価するために,特に,当該自然人の業績,経済状況,健康,個人的嗜好,興味,信頼性,行動,位置又は移動に関連する側面を分析し又は予測するために,個人データの利用から構成されるあらゆる形態による個人データの自動的な取扱いをいう」と定義されています。

 

最近,AIによって,個人データを利用して,データ主体の性格や好み,能力等の様々な特性を分析し,サービス等に活用する企業が増えています(プロファイリングの典型例)。このような取組みは,より効率的に良質なサービスを提供するために効果的である一方で,AIによる思わぬ差別を引き起こしてしまう問題があります。そのような観点から,GDPRでは,プロファイリング等によって自動的に法律的な決定重大な影響のある決定をされない権利を,データ主体に対して保障しています。

 

例えば,インターネットでサービスを提供する企業が,あらかじめユーザーに入力させた情報から本人の性格をAI分析し,サービス利用に問題があると判断された場合にはサービス利用を拒否するようなケースが考えられます。

 

また,個人データから浪費の傾向があるデータ主体をAI分析してローン融資のターゲット広告を行うような手法は,重大な影響のある決定に該当する可能性があります。

 

現代においては,プロファイリング規制が問題にあるケースは限られますが,今後のAIの普及によって,問題になるケースが増えていくことが予想されます。

 

ウ その他の権利

 

その他の権利の多くは,日本の個人情報保護法と類似していますが,概して日本よりも権利保護が厚くなっています。GDPRが適用される場合には,それぞれの権利について,慎重に検討する必要があります。なお,GDPR本文やガイドラインの日本語訳は,個人情報保護委員会のサイトで公開されています。

 

4 GDPR域外適用に対して企業が講ずべき対応

 

GDPRには,一定の要件に該当する場合の代理人データ保護責任者の選任義務,データ保護影響評価の実施義務,個人データ侵害についての監督当局への通知義務といった,今回のコラムで取り上げられなかった様々な規制があります。企業にとって重要なことは,展開しようとしているサービスがGDPRの適用対象になるかどうかを企画段階から意識したうえで,弁護士等の専門家に相談しながら適切な対応を行うことです。

 

例えば,ホテル予約サイトの例でいえば,サービスの運用を始めてからGDPRに抵触していることに気づいた場合,仕様の見直しやサービスの一時運用停止を余儀なくされ,大きな損失につながってしまいます。企画段階からGDPRの問題を意識して,データ主体から有効な同意を得られる仕様設計や,GDPRに抵触しうる可能性のある仕様の排除といった適切な対応を行えば,このような事態は起きません。

 

当事務所では,GDPRに関するご相談にも対応しております。神戸のほか,大阪・京都その他の地域の企業様からのご相談も承りますので,お困りの際には,当事務所までお問い合わせください。

 
ー当事務所の「情報セキュリティマネジメント」サービスはこちらですー
 
ー当事務所でご提供する法人向けサービスはこちらですー
 
―コラムの一覧はこちらです―

 

 

このコラムを書いた人

弁護士 石田優一
兵庫県弁護士会所属 68期 登録番号53402
情報処理安全確保支援士、応用情報技術者の資格を持つ若手弁護士。IT、IoT、営業秘密など、いつでもすぐに、最新の問題に対応するリーガルサービスを提供できるよう、5年先、10年先を読みながら、日々研鑽を積んでいる。
プロフィールはこちら

同じカテゴリのコラム記事

情報セキュリティマネジメント
医療ビッグデータの利活用と個人情報保護(第2回)
情報セキュリティマネジメント
医療ビッグデータの利活用と個人情報保護(第1回)
情報セキュリティマネジメント
IoT税制(投資減税)の要件-IoTのセキュリティ対策(第2回)

みおの関連サービス