EU一般データ保護規則(GDPR)とは?適用の対象や日本の事業者が注意すべき点について解説します
GDPRとは?
GDPR(一般データ保護規則/General Data Protection Regulation)とは、2016年4月に制定され、2018年5月25日から施行されている、EU領域内のプライバシー保護、データ処理・移転に関する規則です。GDPRは、EU領域内の企業だけでなく、EU内に所在する個人の個人情報を扱う全世界の事業者が対象となっており、日本企業であっても関係がないとはいいきれません。
GDPRは、Cookie等のオンライン識別子を含めて個人情報として扱う、個人情報の取得前に同意が必要(オプトイン)である、罰則が厳しい等の特徴があり、その影響は非常に大きいものです。
なお、GDPRの前文・条文は、個人情報保護委員会が翻訳し公開しています。
GDPRで定義される「個人データ」
GDPRでは、個人情報について「個人データ」として以下のように定義されています。
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
— EU一般データ保護規則 第4条 定義
具体的には、以下のような情報が個人データにあたると考えられます。
- 氏名
- メールアドレス
- オンライン識別子(IPアドレス、Cookie 等)
- クレジットカード情報
- パスポート情報
- 位置情報
- 指紋、顔写真
- 出身地、部族
など
このように、GDPRにおいて、個人に関する情報は、オンライン識別子から生体情報まで、また間接的に個人を識別できるものも含めて幅広く規定されています。
GDPRの適用範囲
GDPRの対象となるのは、欧州経済領域(EEA)に加盟した各国の個人データを扱う場合です。EEAは、EU加盟国(2023年9月現在 27カ国)にリヒテンシュタイン、アイスランド、ノルウェーの3カ国を加えた30カ国となります。
また、2020年にEUから脱退したイギリスは、GDPRと同等のルールに基づいた英国個人データ保護規制(UK GDPR)に基づいて個人データを扱っているため、GDPRと同様の対応が必要となります。
GDPRが適用される企業としては以下の4つが対象となります。
- EEA域内に拠点がある企業
- EEA域内の個人に対して商品やサービスを提供する企業
- EEA域内の企業から個人データ処理の委託を受けている企業
- EEA域内の個人を監視する企業
日本企業が影響を受けるケース
上記の適用範囲を見ると、日本企業であっても例えば以下のような場合にはGDPRの対象となることがわかります。
- 日本企業の子会社、支店がEEA域内にある場合
- 日本企業がEEA域内の個人へサービスを提供する場合
- 日本企業がEEA域内の企業と取引がある場合
- 日本企業のウェブサイトがEEA域内からのアクセスを記録する場合
GDPRの対象となる個人データの取り扱い
GDPRでは、EEA域内での個人データの「処理(Processing)」、またEEA域内から第三国への個人データの「移転(Transfer)」の扱いが保護されています。
個人データの処理(Processing)
個人データの処理(取扱い)について、GDPRでは以下のように定義されています。
(2) 「取扱い」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。
— EU一般データ保護規則 第4条 定義
このように、GDPRでは個人データの収集や保存のみならず、加工や分析、削除といった操作についても対象となります。データに関するほぼすべての操作について規制への対応が必要と考えて良いでしょう。
個人データの移転(Transfer)
EEA域内から第三国への個人データの移転については、原則禁止となっていますが、以下の場合に限り個人データの移転が可能とされています。
- 欧州委員会から個人データの十分な保護措置が確保されていると認定(十分性認定)を受けた国に対する移転
- 欧州委員会または監督機関によって採択された標準契約条項(SCC)を用いて個別契約を交わした企業間での移転
- 監督機関によって承認された拘束的企業準則(BCR)に則った情報管理を行う企業グループ内での移転
- その他、本人の明確な同意や公共の利益上の重要な理由、例外的な特例がある場合
十分性認定を受けている国や地域には、日本、イギリス、カナダ、スイス、韓国、ニュージーランド、イスラエル、アルゼンチンなどがあります。
また、アメリカについてはEUとの間でEU-米国データプライバシーフレームワーク(DPF)という枠組みが合意されており、このDPFに参加する企業に対してのみ移転の十分性認定がされています。
EEA域内から日本へのデータ移転
日本は、欧州委員会から2019年に個人データの保護レベルについて相互に同等と認める十分性認定を受けています。このため、EEA域内から日本へのデータ移転、および日本からEEA域内へのデータ移転が可能です。
ただし、GDPRと日本の個人情報保護法の差異を埋めるため、EEA域内からの十分性認定を受けた個人データの移転については、「個人データの取扱いに関する補完的ルール」を遵守する必要があります。
補完的ルールでは、要配慮個人情報の定義の追加、利用目的の特定、外国にある第三者への提供の制限、仮名加工情報や匿名加工情報に関する処理の厳格化といった規則が適用されます。詳しくはJIPDECのサイトで確認できます。
十分性認定に関する補完的ルールへの対応について|一般財団法人日本情報経済社会推進協会(JIPDEC)
GDPRにおける事業者の責任
GDPRの原則
GDPRでは、以下の7つの原則に基づき、事業者の義務が定められています。
適法性、公正性、透明性(Lawfulness, Fairness and Transparency):
・データ主体との関係において、適法、公正かつ透明性のある方法で処理を行う必要があります。
目的の限定(Purpose Limitation):
・データは特定され、明確で、正当な目的のために収集し、目的外の処理をしてはなりません。
データの最小化(Data Minimisation):
・処理目的を達成するために必要な最小限のデータのみを収集・処理しなければなりません。
正確性(Accuracy):
・収集されるデータは正確であり、必要に応じて最新の状態に維持されるべきです。
・正確でないデータは、すぐに修正または削除されるべきです。
記録保存の制限(Storage Limitation):
・個人データは、処理の目的を達成するために必要な期間のみ保存されるべきです。
・それ以降の保存は、特定の合法的な目的(例:研究や統計)のためにのみ行われるべきです。
完全性および機密性(Integrity and Confidentiality):
・データは適切な安全対策を講じて保護されるべきであり、不正アクセス、損失、破壊、不適切な変更から保護されなければなりません。
説明責任(Accountability):
・管理者は、上記の原則の遵守を実証する責任があり、適切なポリシー、手順、記録の維持などを通じて、GDPRの要件が守られていることを示す必要があります。
事業者の義務
GDPRにおける7つの原則を守るために、事業者は以下のような具体的な措置をとる必要があります。
- 個人データを合法的に処理すること
- 個人データの取扱いについて記録すること
- 技術的・組織的なセキュリティ対策を適切に実施すること
- データ保護責任者(DPO; Data Protection Officer)を任命すること
- プライバシーポリシー、Cookieポリシーを作成し遵守すること
- 本人の権利に基づいた個人データに関する要請に対応すること
- データ侵害があった場合、監督機関に報告すること
- リスクが高い場合はデータ保護影響評価を実施すること
- 監督機関と協力すること
など
罰則
上記のような義務が果たされない場合、事業者に対する制裁金が科される可能性があります。GDPRでは2段階の制裁金が設定されています。
- 企業の全世界年間売上高の2%、または1,000万ユーロのいずれか高い方
- 企業の全世界年間売上高の4%、または2,000万ユーロのいずれか高い方
2022年には、NTTデータ社のスペイン子会社の顧客情報漏洩事件を発端に、この子会社に対して約6万4,000ユーロ(約940万円)の制裁金が科された事例があります。
