GDPR

EUが定める個人データに関する法律

EUが定めるGDPRとは、正式名称を「General Data Protection Regulation（EU一般データ保護規則）」といい、2018年5月25日に発効したもの。それ以前の法律に代わり、EUにおける個人データ保護のための新たな法的な枠組みとなりました。データの対象となる個人に対し新たな権利を与え、事業者に多くの義務を課し、違反にはこれまで以上に多額の制裁金が課されます。

GDPRは、次の2つの条件を適用の対象とします。

「個人データ」とは、特定された、または特定されうる自然人に関するあらゆる情報（連絡先情報や生年月日など）をいい、「処理」は個人データに対して行われる作業（データの収集、保管、第三者への移転など）をいいます。EU以外の地域に事業拠点を置く日系企業はGDPRとは無関係かといえば、そうではありません。EUの消費者をターゲットとしている、EU市民をモニタリングしている、またはEUの消費者に有償・無償を問わず商品・サービスを提供している場合、EU域外に拠点を有する事業者もGDPRの適用対象となります。

GDPR上の義務は、個人データをどのように使用するのかを決定する「管理者」および、管理者のために個人データの処理を行う「処理者」に課せられ、義務違反は深刻な結果となり得ます。重大な義務違反の場合には、2000万ユーロ以下、または前会計年度の全世界売上高の4%以下のいずれか高額なほうを制裁金として課される場合があります。事業者にとってデータの保護は極めて重要で、企業が優先的に対応すべき課題なのです。

大企業も陥る訴訟事例

効力発生後まだ18カ月のため、GDPRの執行には未知数な部分があります。ただ、大量の個人データの流失に関わる事案に対しては、極めて高額の制裁金が課される傾向にあると言えるでしょう。

約50万人の顧客データが流失したBritish Airwaysの事案では、イギリスの規制当局が2億米ドルを超える制裁金を課す方針を出しました。これは、British Airwaysの全世界年間売上高の約1.5%に相当します。また、約3億人の顧客データが流失したマリオットホテルに対してイギリスの規制当局は1億米ドルを超える制裁金を課すとしており、これは同ホテルチェーンの全世界年間売上高の約3%に相当します。2019年1月には、フランス規制当局がGoogleに対し、透明性原則違反およびユーザーから十分な同意を得ていなかったとして、5000万ユーロの制裁金を課しました。

リスク回避のため
会社としての対策は入念に

規制当局からの制裁金や個人からの民事訴訟のリスクを減らすため、会社は特に以下の点に注意しましょう。

個人データ処理時には、法的根拠を確認し記録を残す
個人データを適法に処理するために管理者が考える必要があるのが、個人データ処理の「法的根拠」です。GDPRはこの法的根拠について、6項目を定めています。たとえば、個人データの対象者がその処理に対して同意した、データ対象者が契約当事者である契約の履行に当該データ処理が必要である、などです。どのような法的根拠があるかは対象となるデータ処理の性質によりますが、これを確認し、記録として残すべきです。

プライバシー通知の作成
会社は社内および社外に向け、詳細なプライバシー通知を定め、データ対象者（ウェブサイトへの訪問者や従業員等）に対し、一定の事項を伝えなければなりません。これには、管理者の名称および連絡先詳細、収集する個人データのカテゴリ、個人データを収集する理由と処理の方法、データ対象者の権利とその行使方法を含みます。

個人の権利
GDPRは個人に対し、みずからのデータについて、アクセス、訂正、消去、処理を制限、処理への異議、データの受領等の権利を与えています。会社は、データ対象者からのこれらの権利行使のリクエストに適切に応じる内部体制を整えなければなりません。

セキュリティポリシーと処理
GDPRは個人データ保護を求めているため、個人データを管理、処理する会社は、技術的・組織的に内部監査をしてセキュリティを確保しなければなりません。

個人データ侵害の通知
個人データの侵害があった場合、管理者は一定の期間内にEU規制当局および影響を受ける個人に対し通知をしなければなりません。日系企業も、このルールを遵守できるようデータ侵害ポリシーを制定・改定する必要があります。

代理人の選任
EU域内に拠点を有していないが、個人データ処理についてGDPRの適用を受ける会社は、EU域内の代理人を選任する必要があり、この任命を怠った場合にはGDPR違反となります。

データ保護責任者の選任
一定の状況において、管理者および処理者はデータ保護責任者を選任する必要があります。日系企業もその必要性の有無を判断し、必要な場合にはかかる責任者の職務を定めなければなりません。

業務委託契約の見直し
自社のサービス提供の一部・全部を第三者に委託し、個人データが当該第三者との間で共有される場合には、日系企業を含む個人データ管理者はその業務委託契約を見直し、第三者のGDPR上の義務を定めなければなりません。

立証責任
個人データ管理者は、①データマップの作成（処理される個人データのカテゴリ、依拠する法的根拠、処理の目的ならびにデータ受領者の氏名および所在地をマッピングするもの）、②データ処理による影響を評価するためのデータ保護影響評価の実施、ならびに③すべてのデータ処理におけるプライバシー設定で「バイ・デザイン」および「バイ・デフォルト」の実施を含め、GDPR遵守の立証責任を負います。