＜ヨーロッパの個人情報保護法「GDPR」【1】＞　EU一般データ保護規則「GDPR」で抑えておくべきこと

インターネットを介した情報のやりとりが、世界中で当たり前となり、「個人情報の保護」は、日本だけでなく海外でも大きな課題なっています。そんな中、EUではEU諸国で、足並みをそろえた共通の法規制、GDPR(EU一般データ保護規則)を、2018年に施行しました。GDPRは、どのような背景のなか誕生したのでしょうか？GDPRの概要と、抑えるべきポイントをご紹介します。

GDPR(EU一般データ保護規則)とは？

まずはGDPRの基本概要として、前身と言われる「EUデータ保護指令」やGDPRの目的などを、解説いたします。

●GDPR(EU一般データ保護規則)の目的とは？
GDPRは、「General Data Protection Regulation」を略したもので、正式名称は「EU一般データ保護規則」といいます。インターネットの普及と共に、世界中の個人情報が脅威にさらされている状況下で、EU(欧州連合)では、個人情報保護を重視した新しい個人情報の枠組みとして、GDPRを策定し、2018年5月25日から施行しました。GDPR制定の背景には、急速なIT技術の革新と、グロバリゼーションの進展、それらがもたらすビッグデータ時代が、深くかかわっています。顧客の購買履歴や行動履歴などのビッグデータを活用したビジネスは、世界中から注目され、同時にニーズも増える中、それと同時に、企業へのサイバー攻撃やハッキングなどによる個人情報漏洩のリスクも急速に高まり、個人情報を取り囲む環境は急激に変化していきました。このリスクに対応するために、EUでは、EU圏内での個人情報を守るための法整備として、GDPRを制定したのです。

●「GDPR」(EU一般データ保護規則)と「EUデータ保護指令」の違い
EUにはもともと、1995年から施行していた「EUデータ保護指令」という個人保護法がありました。EUデータ保護指令とは、「EU連合内の個人(市民と居住者)のために個人データコントロールを取り戻し、保護を強化すること」を定義としており、個人データを取集、処理する事業者に対して、個人情報を保護する義務を課していました。しかし、EUデータ保護指令はあくまで「指令」であり、法整備はEU加盟国各国の判断で委ねていたため、統一されておらず、運用もバラバラでした。そこで「指令」を「規制」へと引き上げ、EUで共通の法整備として、より厳格なGDPRを制定したという流れとなっています。

GDPRの規則事項とは

GDPRで取り決められている規則事項は、173項文の前文と99条にわたる規則事項が取り決められています。ここではメインとなっている「個人データの処理」「個人データの移転」「基本的権利の保護」について、見てまいりましょう。

(1)個人データの処理
GDPRでは、個人データを処理する場合、企業は「管理者(Controller)」として、以下のような規則事項を遵守する必要があります。

・個人データの処理及び保管にあたり適切な安全管理措置を講じる
・処理を行う目的に達成な期間を超えて個人データを保持してはいけない
・個人データの侵害(情報漏洩)が発生した時、企業は72時間以内に監督機関へその旨を通知しなければならない
・定期的に大量の個人データを扱う企業はデータ保護を管理するためのデータ保護オフィサーを任命する義務がある

(2)個人データの移転
原則として、EEA(欧州経済領域)の域内からEEA域外への個人データの移転は禁止されています。例えば、EEA域内のデータを日本に移転しようとする場合、日本は欧州委員会によっては「適切な個人情報保護制度を有していると認められない」とされており、その場合、認められていない国と情報移転をやり取りする場合、企業は「拘束的企業準則」の策定と「準則契約条項」を締結し、一定の要件を満たさなければなりません。

(3)基本的権利の保護
GDPRでは、「本人の基本的権利を保護する」という考えが強く打ち出されており、個人データの取得に関して、次のようなルールが制定されています。

●企業は管理者として、自らの身元や連絡先、個人情報の処理の目的、第三者への提供の有無、データの保管期間、データ主体の有する権利について、明瞭でわかりやすい表現によりデータ主体へ通知する義務がある

●企業は上記に関し、明確な方法でデータ主体に同意を得ると共に、データ主体が自由に撤回することができる権利を適切に行使できるようにする必要がある

●個人情報データをデータ主体から直接取得していない場合は、企業は当該情報の入手元をデータ主体に通知しなければならない

GDPRで対象となるデータ

GDPRで対象となる個人データは、以下の通りです。

●従業員名簿・人事システム・組織図・緊急時連絡網・座席表などの従業員の氏名が含まれるもの●顧客管理システム、株主名簿など顧客の氏名が含まれるもの

●イベント参加者名簿・展示会来場者情報など取引先企業担当者の氏名が含まれるもの

●メーリングリストにあるEメールアドレス

氏名ではなく、従業員番号やIPアドレスでも、他のデータと組み合わせることで、個人識別が可能なため、GDPRではIPアドレスなどの識別子も、個人データと認識されています。

GDPRの罰則規定について

GDPRの罰則は厳しく、莫大な「制裁金」が発生することで、知られています。GDPRに従わなかった場合、最大で企業の「全世界売上の4％以下」「もしくは2000万ユーロ以下」の「いずれか高い方」が罰金刑として適用されます。これは、EU諸国だけでなく、日本企業も対象となるケースがあるので、注意が必要です。実際、2019年にイギリスの大手航空会社が、約50万人の顧客情報を流出させたことでGDPR違反とみなされ、約240億円の制裁金を課す方向となっています。またアメリカの大手IT会社も、フランスからの申し立てにより、データ収集の同意に不備があったとされ、約62億円制裁金を課すことが報じられています。このようにGDPRの制裁金は額面が非常に大きく、企業によっては、相当なダメージになることが予想されます。