22 海外法務, 外国法

はじめに

　2018年5月からEU一般データ保護規則（General Data Protection Regulation:GDPR）が施行されます。”EU”という単語から、GDPRは日本企業とは無関係だと思われるかもしれません。しかし、その認識は誤りです。GDPRは広く日本企業にも適用されると考えられ、しかもその違反に対しては高額な制裁金が科される可能性があります。そこで、今回は、GDPRの適用対象、規定内容及び制裁金を中心に見ていきます。

適用対象

　GDPR第3条によれば、GDPRは、①EU域内に拠点（子会社、支店、営業所など）を有する企業に適用されるのが原則です。しかし、EU域内に拠点を有していない企業であっても、②EUに在住するデータ主体（識別された又は識別され得る自然人のこと）に対して商品やサービスを提供しているか、あるいは③EU域内で行われるデータ主体の行動をモニタリングしていれば、その適用対象となります。②について、データ主体に支払いが要求されるか否かは問題となりません。また、③の例としては、データセンター事業者が挙げられます。
　ここで注目すべきは②と③です。これらがGDPRの適用対象に含まれている以上、たとえEU域内に拠点を有していなかったとしても、EUとの間で何らかの取引関係があれば、GDPRへの対応の要否を検討すべきだと言えるでしょう。

規定内容

　GDPRは、個人情報の保護と流通に関する新たな法的枠組です。GDPRの規定内容としては、次のようなものがあります。
・個人データ（データ主体に関するあらゆる情報）は、データ主体との関係において、適正、公正かつ透明性のある手段で取り扱われなければならない（第5条）。
・データ主体が一つ又は複数の特定の目的のために自己の個人データの取扱いに同意を与えたことが、取扱いが適法となるために必要となることがある（第6条）。
・取扱いが同意に基づく場合、管理者（単独で又は他と共同して、個人データの取扱いの目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体）は、データ主体が自己の個人データの取扱いに対して同意しているということを証明できるようにしなければならない（第7条）。
・人種、政治的思想、宗教的信条、労働組合員資格などに関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータなどの取扱いは、原則として禁止される（第9条）。
・データ主体は、当該データ主体に関する不正確な個人データについて管理者に訂正させる権利を有する。また、データ主体は、追加の記述を提供するという手段を含め、不完全な個人データを完全にする権利を有する（第16条）。
・データ主体は、当該データ主体に関する個人データについて管理者に消去させる権利を有する。また、管理者は、一定の場合、個人データを消去する義務を負う（第17条）。
・第45 条第3 項による決定がない場合（日本はこの場合に該当する）は、管理者又は取扱者（管理者のために個人データの取扱いを行う自然人、法人、公的機関、行政機関又はその他の団体）が適切な保護措置を提供しており、執行力あるデータ主体の権利及びデータ主体に関する効果的な法的救済が利用可能な状態であるときに限り、管理者又は取扱者は第三国又は国際機関に個人データを移転することができる（第46条）。

制裁金

　GDPRは、２で述べた適用対象となる企業に対して様々な義務を課すとともに、その違反に対しては高額な制裁金が科され得ることを定めています。例えば、基本的取扱い原則（第5条、第6条、第7条及び第9条）に違反した場合、データ主体の権利についての定め（第12条から第22条まで）に違反した場合、第三国又は国際機関の取得者への個人データ移転についての定め（第44条から第49条まで）に違反した場合、監督機関の命令に従わなかった場合などには、最大2000万ユーロ、又は前会計年度の全世界年間売上高の4％までの、いずれか高い方が制裁金として科されます。

　日本企業であっても、EUとの関係が少しでもある場合には、GDPRへの対応が必要となる可能性があります。とはいっても、GDPRの内容は複雑かつ多岐にわたるため（本稿の趣旨はGDPRへの対応が進んでいない企業に対する注意喚起であるため、GDPRの規定内容については簡略化しています）、企業の内部のみでGDPRへの対応を完遂するには多くの時間を要すると考えられます。GDPRの施行まで残り約4か月です。本稿を読んで不安を抱かれた方には、外部の専門機関にご相談なさることをお勧め致します。

メルマガ会員登録