GDPR

fb205ef4fe0a1b0b2da3e3e4c386b70d_s_R

GDPR

GDPR(General Data Protection Regulation:EU一般データ保護規則)は、欧州連合(EU)における新しい個人情報保護の枠組みです。EUでは、2012年にそれまで1995年のデータ保護指令に基づいて、加盟国ごとに施行されていたデータ保護法の見直しに着手し、2015年に欧州委員会、欧州議会、欧州理事会の三者協議を経て、2016年4月にEU域内で適用されるデータ保護の統一ルールとしてGDPRが採択されました。そして、2018年5月25日から施行される予定になっています。

対象はEUに企業に限らず、EU内でビジネスを行う企業であれば日本企業であっても法規制の対象となります。正確に言えば、日本にいて、EU内からオンラインショッピングで注文を受けている企業、EU居住者の個人情報が日本国内に送られてきた場合なども対象となります。

そんなこともあり、IT関連のマスコミを中心に最近頻繁に取り上げられるようになってきています。企業へのGDPR対応支援サービスも出てきているようです。

GDPRの特徴

gdpr_001_RGDPRは、173項目の前文と11章99条からなる条文で構成されています。条文の日本語訳は一般財団法人日本情報経済社会推進協会から仮日本語訳としてでていますが、120ページあります。(https://www.jipdec.or.jp/archives/publications/J0005075参照)また、前文はKDDI Researchの調査レポートR&A(https://rp.kddi-research.jp/article/GN2016001)から知ることができます。詳細はそうしたものを見てください。

GDPRは、「EU基本憲章」によって保障されている重要なEU市民の権利を守ることを目的とし、大まかには個人データの処理と個人データをEUから第三国に移転するために満たすべき法的要件を規定したものです。日本貿易振興機構(ジェトロ)の「EU 一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」では、GDPRは一言でいうと「個人データの「処理」と「移転」に関する法」と説明しています。

GDPRの特徴については、例えば、EY Japanは「GDPRによって生じる重要な変化として」次のことを挙げています。

・最大で年間売り上げの4%の罰金(全世界における年間売り上げの4%、または2,000万ユーロ)

・適応範囲の拡大(EUに拠点を置く組織、EU市民を対象に事業をする組織)

・データ保護責任者(OPD)

・説明責任

・プライバシー影響評価(PIA)

・本人からの同意取得

・漏えい時の通知義務(72時間以内に関係機関への通知)

・新たな権利への対応(忘れられる権利、データポータビリティ、プロファイリングへの異議申し立て)

・プライバシー・バイ・デザイン

・情報処理者の義務

https://www.eyjapan.jp/services/advisory/global-contents/pdf/2016-12-12-jp.pdf より)

また、日本インターネットガバナンス会議(IGCJ)の資料によれば、以下のことをGDPRの概要として挙げてあります。

 (1)EU域内における規制の単一化・簡素化

(2)より強固な個人データ保護ルールの整備

①「 忘れられる権利」に関する規定の導入(第17条)

② 「データ持ち運びの権利」を規定(第20条)

③ 「プライバシー・バイ・デザイン」原則の導入(第25条)

④ データ漏えい時の通知義務(第33条)

⑤ 「データ保護職員」の任命義務(第37条)

⑥ 制裁金の引き上げ(第83条

(3)グローバルな課題への対応

① 域外事業者への適用(第3条)

② 十分性認定見直しメカニズムの導入(第45条)

(第21回日本インターネットガバナンス会議 21st IGCJ  http://igcj.jp/meetings/2017/0928/igcj21-1-1-yano.pdf より)

 十分性認定

「十分性認定」というあまり聞きなれない言葉があります。十分性認定については、「第45 条 十分性決定に基づく移転(Article 45 Transfers on the basis of an adequacy decision)」で規定されています。

その1項に「第三国又は国際機関への個人データの移転は、・・・・・・・が保護に関して十分なレベルを保証していると欧州委員会が決定した場合に行うことができる」とあります。つまり、十分性認定とは、データの移転先の国や地域のデータ保護制度が、EUの制度と同等な保護措置であるかどうかを、欧州委員会が審査し、認定することを言います。

実は、「十分性認定」はGDPRで初めて出てきた内容ではなく、現行の「EUデータ保護指令」の第4章「第3国への個人データの移転」の第25条においても、「第3国によって保障される保護のレベルの十分性は、・・・評価されなければならない」とあります。

現在、十分性認定を取得している国や地域は、スイス、カナダ、アルゼンチン、ガーンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドなどです。日本は入っていませんが、欧州委員会の政策文書「グローバル化する世界における個人データの交換と保護(Exchanging and Protecting Personal Data in a Globalised World)」(2017年1月10日)では、

「Based on these considerations, the Commission will actively engage with key trading partners in East and South-East Asia, starting from Japan and Korea in 201737, and, depending on progress towards the modernisation of its data protection laws, with India, but also with countries in Latin America, in particular Mercosur, and the European neighbourhood which have expressed an interest in obtaining an “adequacy finding”.」

と記されており、2017年に日本及び韓国を始めとする東アジア及び東南アジアの重要な貿易相手国、ラテンアメリカ諸国びEUの近隣諸国等と、十分性認定の可能性を探ることが記されています。

十分性認定の審査における要素としては、第45条の2項に定めてありますが、「公安、国防、国家の安全及び刑事法並びに個人データへの公的機関のアクセスに関する法律」などの方の支配、司法的救済、独立した監督機関の設置などが考慮されます。また、3項で既存の十分性認定について最低4年ごとの見直しすることも触れています。

十分性認定がない場合については46条「適切な安全管理措置」で、適切な安全管理措置もない場合の例外規定が48条にそれぞれ規定されています。

GDPRの懸念

GDPRの施行まであとわずかになり、日本企業の対応の遅れが指摘する論調も多いようですが、PwC Globalが米国、英国、日本の各企業を対象に実施したGDPR対応状況に関する調査を見ると、日本企業で対応を完了したと回答したのは、わずか2%となっています。(https://www.pwc.com/jp/ja/knowledge/thoughtleadership/gdpr.html より)。

対応が遅れたために思わぬリスクを背負う可能性もあります。ではどんな懸念があるのでしょうか。

第4条「定義」の中で「オンライン識別」は個人情報としています。具体的には示されていませんが、一般的にはIPアドレスやCookieなどのことだろうと思います。Cookieが個人情報であるなら、取得・使用することに同意が必要ということになります。Cookieは、ログ解析やオンライン広告などあらゆるデジタルツールに利用されていますが、そうしたことが今までのようにはできなくなるのではとも言われています。

一般財団法人日本マーケティングリサーチ協会は次の3つを重大な懸念として挙げています。

① 不用意にEU市民を対象とした調査を実施し、高額の課徴金/制裁金を科されるリスク(世論調査への規制)

② クッキーおよび類似技術を用いたオンライン上の視聴・行動計測ができなくなるリスク (eプライバシー規制強化)

③ ソーシャルリスニングによるテキストマイニングができなくなるリスク(著作権制度改革)

(www.jmra-net.or.jp/notice/tabid140.html?itemid=103&dispmid=497 より)

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です