EUでは、個人情報保護法分野において、「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。違反があった場合、2000万ユーロ又は年間総売り上げの4%の高い金額が制裁金として課される可能性がある一方(GDPR83条5項)、EU圏内に拠点を置く法人以外にも適用される可能性があり注意が必要です。今回はその適用範囲と域外移転を中心に解説いたします。
(2)適用範囲
保護される個人データ(personal data)とは、「識別された自然人又は識別可能な自然人に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、または、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つまたは複数の要素を参照することによって、直接的または間接的に、識別されうる者をいう。」(GDPR4条)とされています。クッキー(Cookie)やIPアドレスなども該当すると考えられていますが、対象は自然人のみであり、法人は含まれません。 GDPRでは、「管理者又は処理者」がEU域内に拠点を持っているかを地理的適用範囲とし、場合を分けて規定しています(GDPR3条)。 まずEU域内に管理者又は処理者の拠点がある場合にはGDPRが適用されます。拠点がない場合には、①データ主体(個人データを提供する者)に対する物品またはサービスの提供の場合、②データ主体の行動の監視の場合には、GDPRが適用されることになります。①物品またはサービスの提供については、EUの言語や通貨を使って注文ができる、あるいは、EUの消費者・ユーザー向けの説明がある場合などが該当するとされております。また、②行動の監視について、ターゲティング広告を行うなどしているなど、データ主体の個人的な嗜好、行動および傾向を分析又は予測している場合が該当するとされています。
(3)取り扱いが適法になる場合
上記のような個人データの取り扱いが適法となる場合は6通りありますが(GDPR6条1項)、原則として、データ主体が、同意を与えた場合に適法となります。GDPRにおける同意では、①自由に与えられた(任意性)、②特定された(特定性)、③説明を受けた、④不明瞭でない意思表示(明確性)という有効性の要件があり、手続的な追加的な条件も規定されており、個人情報保護法における「本人の同意」と比較すると厳格に要件が定められています。EU域外の事業者がEU域内のデータ主体から直接個人データを取得するにあたっても、このような同意等が必要となります。
(4)域外移転
ア データ主体から直接取得するのではなく、EU域内の事業者(管理者)からEU域内にいるデータ主体の個人データをEU域外に移転させることを域外移転といいます。域外移転にあたっては厳格な規制があり、日本を含むEU域外の事業者がEU域内の事業者からEUにあるデータ主体の情報を取得しようとする場合、GDPRで定められた要件を満たす必要があります。その要件とは、①十分性認定に基づく移転(GDPR45条)、②適切な保護措置に従った移転(GDPR45条)、③特定の状況における例外(GDPR49条)のいずれかです。③例外については、データ主体の同意等とされています。
イ ①十分性認定 欧州委員会が十分なデータ保護の水準を確保している国・地域であると決定した場合は、手続きや許可なく、域外移転を認めることができます。2019年1月23日、日本も十分性認定を受けております。本ニュースレター発行時点で十分性認定を受けているのは、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、スイス、ウルグアイです。なお、米国については、十分性認定はされておらず、個別企業の登録ベースで十分な個人データ保護水準を担保する代替措置の「プライバシーシールド」を認める決定のもとに域外移転がなされてきましたが、2020年7月16日、EU司法裁判所はこの決定を無効とする判決が出されています。
ウ ②適切な保護措置、SCC(SDPC)・BCR 上記の十分性認定を受けていない場合、域外移転にあたっては適切な保護措置の手続が必要となります。その際に使われるのが、SCC(Standard contractual clauses)やBCR(Binding corporate rules、拘束的企業準則)です。SCCは、EU圏内にある事業者と域外にある事業者との間で締結される域外移転の合意書のことであり、GDPR以前から規定されていた標準契約条項です。これについては欧州委員会からひな形が公表されています。現在ではSDPC(Standard data protection clauses)といいますが、ほぼ同じものとして用いられています。
(5)企業としての対応
GDPRの適用対象となる場合、必要な情報提供等のほか(GDPR13条)、データ保護オフィサーの設置、従業者の役割・責任の明確化、窓口の設置などの体制整備等が必要となります。日本の個人情報保護法では、個人情報の第三者提供に限り記録義務がありますが(個人情報保護法25条、26条)、GDPRでは取扱活動全般に記録義務がある(GDPR30条)などの違いもありますので、GDPRを意識した対応が必要となります。また、域外移転を行う場合、日本国内の事業者へ行う場合には、日本は十分性認定を受けていますので、日本の個人情報保護委員会が公表している補完的ルールに従うことで足ります。他方、十分性認定を受けていない国へ域外移転を行う場合には、上記SCCなどの適切な保護措置を採る必要があります。
本記事の詳細は当事務所へお問い合わせ下さい。
