2018年5月より施行された、EUの個人情報法制「GDPR」について、日本国内向けに事業を展開している事業者でも適用され対応が必要になる場合があり、漏洩など重大な違反が生じた際には制裁金のリスクもあると報道されており、中小の事業者には不安も生じております。株式会社TradeSafeでは、このGDPRの概要と対応の動向について、当社の会員であるウェブショップ事業者に関する視点から、弁護士など専門家の意見を元に概要をまとめましたのでご紹介いたします。
【GDPRとは】
EUの個人情報保護法にあたる「一般データ保護規則」(General Data Protection Rules)のことです。これまでは1995年に制定されたEUデータ保護指令の下で、各国が国内法を作っていました。EUデータ保護指令は、EU加盟国の国内法の最低限の保護のレベルを画するものでしたが、これに変わって新たに作られたGDPRは、EU加盟国の法律と同じようにEU加盟国に直接適用される単一のルールです。従来の制度に比べて制裁が強化されているため、域外適用を受ける日本の事業者も対策を強いられています。
GDPRの内容をひと言で要約すると、事業者による個人データの「処理」と「移転」を規制するルールです。
2016年4月に制定され、2018年5月25日より施行されています。
GDPRの個人データ
GDPRの個人データは、「識別される、識別されうる自然人に関するあらゆる情報」です。日本の個人情報保護法では、対象外とされるIPアドレス、クッキー、RFIDタグなども含まれるので、日本法の個人データより広い概念です。国籍、居住地を問わないため、短期出張や旅行でEU域内にいる日本人の情報も含まれます。
「処理」と「移転」
GDPRは、事業者による処理と移転に適用されます。処理とは、個人データに関するあらゆる作業、取得、記録、編集、提供、保存、修正、消去などをすべて含みます。移転とはEU域内から第三国に個人データを送付し閲覧可能にすることです。
日本の事業者に対するGDPRの適用
第一に、EU域内に「拠点」がある場合、拠点の活動に関連して行われる個人データの処理に適用されます。拠点とは、安定的な仕組みを持って活動する実態があればよく、支店の場合も子会社の場合もこれに当たります。
第二に、EU域内に拠点がない場合であっても、①EU域内にいる個人に対する商品または役務の提供を行う場合、②EU域内で行動する個人を監視する場合、には適用されます。①との関係では、ウェブショップの英語版があることだけを理由にGDPRが適用されることはなさそうです。他方で、フランス語やドイツ語などのEU域内で使用される言語のページがある場合、ユーロ決済ができる場合、EU域内の顧客について記述がある場合などは、商品または役務の提供を行っていると評価されることがあるでしょう。
「処理」と「移転」の要件
EU域内に「拠点」があるなど、GDPRの適用を受ける場合、個人データの「処理」と「移転」については、適法性の要件が規定されており、これを満たさない「処理」と「移転」は許されません。
「処理」については、本人の同意があることや、事業者によって追求される「正当な利益」があることが要件になっています。「正当な利益」については、事業目的のうち本人が合理的に予測できるようなものがこれにあたるとされています。例えば、ダイレクトマーケティングのために個人データの処理を行うことは「正当な利益」があるとされています。
「移転」については、日本の個人情報保護法制がGDPRの保護のレベルとほぼ同等であることを根拠に広く移転が許されることになる見込みです。
GDPRにおける事業者の義務
GDPRの適用を受ける場合、事業者は個人データの処理についての原則を守らなければなりません。これには透明性を確保することや、不必要なデータは取得しないこと、保存期間の制限を設けることなどが含まれます。それ以外にも事業者は個人データに関連する様々な義務を負います。日本の個人情報保護法にみられないものとしては、代理人の選任義務(EU域内に拠点のない事業者の場合)、データ保護責任者の選任義務、消去権(忘れられる権利)に対応する義務、プロファイリング拒否権に対応する義務などです。
GDPRの法的リスク
GDPRにおける重要な義務に違反した事業者は2000万ユーロ又は全世界売り上げの4%の高い方を上限とする制裁金を課せられます。しかしながら、日本の中小事業者に対してすぐにこのような制裁が課せられる可能性は極めて低いと考えられています。もっとも可能性がないとは言い切れませんから、EU域内の個人顧客が相当数いる場合や、自社のウェブショップでユーロ決済・EUの言語の使用が可能になっている場合には、どのような義務があるのか、EU当局の域外事業者に対する法執行の状況はどのようなものか、今から情報収集をしておくことが望ましいでしょう。
GDPR対応の検討にあたっての参考情報
日本国内事業者の対応については、経済産業省など国や関係機関の情報を確認ください。
個人情報保護委員会(経済産業省)
GDPRの解説等
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR
EU域内にいる個人の個人データを取り扱う企業の皆さまへ(平成30年3月28日)
https://www.ppc.go.jp/news/press/2017/20180328/
JETRO(日本貿易振興機構)
EU 一般データ保護規則(GDPR)について
https://www.jetro.go.jp/world/europe/eu/gdpr/