一般法務/契約書

GDPR(EU一般データ保護規則)でスタートアップが抑えておくべきポイント

1.はじめに GDPRって何?

2018年5月25日に施行された「一般データ保護規則(GDPR)」

欧州経済領域(European Economic Area:EEA=EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)の個人データ保護を目的とした管理規則であり、個人データの移転と処理について法的要件が定められています。

<制度のポイント(整理)>

  • 2018年5月25日から適用開始
  • 個人データの保護に対する権利という基本的人権の保護を目的とした法律(EU基本権憲章)
  • 適正な管理が必要とされ、違反には厳しい行政罰が定められている
  • EEA内に支店、現地法人などが無くても、ネット取引などでEEA所在者の個人データをやり取りする場合は対象になる
  • 組織の規模、公的機関、非営利団体等関係なく対象となる(中小零細企業でも対象だが一部例外措置あり)

個人データの取扱い状況によってはデータ保護責任者(Data Protection Officer:DPO)やEEA内に代理人(Representative)の選任が必要になります。

2.GDPRとは

欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組み。「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が正式名称。

グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっていますが、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まっている現状があります。

1995年には、EUデータ保護指令が策定されていましたが、それに代わる、より厳格なものとしてGDPRは発効されました。EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。GDPRは、2012年に立案、2016年4月に採択され、2018年5月25日に施行され、個人データを収集、処理をする事業者に対して、多くの義務が課されることになります。

また、EUデータ保護指令は各国での法規定は加盟国ごとにバラバラで良い「指令(Directive)」でしたが、GDPRは「規則(Regulation)」ですので、全てのEU加盟国に共通の法規則として適用される点が大きな違いです。

3.GDPRの理解で押さえるべきポイント

GDPRでの個人データ(Personal Data)の定義は以下のようになっています。
「個人データとは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、または当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つ、もしくは複数の要素を参照することによって、直接的にまたは間接的に、識別され得る者をいう。」(GDPR 第4条)


例えば以下のような情報が考えられますが、具体的なガイドラインは第29条作業部会(Article 29 Working Party)が作成中であり、定義の詳細や業種業態ごとの管理手法について不明点がまだ多い段階です。

<個人データ(例)>

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー)
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
  • なお、企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外となる。

<GDPRでの保護対象となる個人データの範囲>

GDPRの保護対象となる個人データとは、EEA内に所在する個人(国籍や居住地などを問わない)の個人データとなります。ここまでは分かりやすいのですが、更に以下のような条件でも保護対象の個人データになるようなので注意が必要です。(GDPR 第2条、第3条、第44条~第50条)

  • 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
  • 日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
  • 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
  • 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合
  •  

GDPRで保護対象となる個人データについてもさまざまなケースが想定されるため、ガイドラインの発行を待って対応するよりも、可能性のある段階で対応の準備を進める方がいいと思います。

【適用対象】

EU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)。EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となります。

<GDPRの適用範囲>

GDPRの適用範囲は主に以下のように定義されています。GDPRの大きな特徴として、EEA内に拠点(establishment)を持たなくても、EEA内の個人に対して商品、サービスを提供し、個人データを処理、または監視する管理者(Controller)、処理者(Processor)にも適応されるので注意が必要です。(GDPR 第2条及び第3条)

  • GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される。
  • GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。
    • EEAのデータ主体に対し商品又はサービスを提供する場合
    • EEAのデータ主体の行動を監視する場合

ここで定義されている管理者と処理者の関係性については以下のようになります。

<GDPRでの保護対象となる個人データの範囲>

GDPRの保護対象となる個人データとは、EEA内に所在する個人(国籍や居住地などを問わない)の個人データとなります。ここまでは分かりやすいのですが、更に以下のような条件でも保護対象の個人データになるようなので注意が必要です。(GDPR 第2条、第3条、第44条~第50条)

  • 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
  • 日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
  • 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
  • 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合
  •  

GDPRで保護対象となる個人データについてもさまざまなケースが想定されるため、ガイドラインの発行を待って対応するよりも、可能性のある段階で対応の準備を進める方がいいと思います。

例えば、日本に本社があるウェブサイトで、EEA所在者に対して商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は、本社に対してGDPRが直接、適用される可能性があることに注意が必要です。

【義務内容】

<個人情報の処理>

  • 処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する
  • 処理対象の個人データおよびその処理過程を特定しなければならない
  • 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
  • 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
  • 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
  • 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
  • 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。

<個人情報の移転>

  • EEA(欧州経済領域)の域内から域外(第三国)への個人データの移転は原則として禁止
  • 例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有していると認められていない国への情報移転は、
  1. 本人同意を得る
  2. 拘束的企業準則(binding corporate rules)を策定する
  3. 標準契約条項(SCC:Standard Contractual Clauses)を締結する

のいずれかの要件を満たしに行く必要があります。

【制裁】

上記のGDPRで定められた義務内容に違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロ(1ユーロ125円とすると25億円)のどちらか高い方が制裁金として課される。(「全世界売上高」というのはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることを意味します。

4.GDPRの影響を受ける日本の組織

日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。

  1. EUに子会社、支店、営業所、駐在員事務所を有している
  2. 日本からEUに商品やサービスを提供している
  3. EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)

例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。

また、海外に拠点を持っていない場合でも、EU居住者が日本のWebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。

EU域内の個人データを扱う可能性がある場合、経営層や法務部門と連携し、社内ルールの見直しやデータ保護責任者の選任などの管理体制の強化、個人データを処理するシステムに対しての安全対策を行う必要が出てくるでしょう。

5.まとめ

利用規約やプライバシーポリシーの見直しが必要になってくると思いますので、このタイミングでぜひ自社の対応方針等について検討してもらえると良いかなと思います。

ABOUT ME
石原一樹
石原一樹
Seven Rich法律事務所 代表弁護士弁理士
法務や契約書についての専門家相談窓口はこちら

スタートアップドライブでは、法務や契約書の相談に最適な専門家や法律事務所を無料で紹介します。
お電話で03-6206-1106(受付時間 9:00〜18:00(日・祝を除く))、
または24時間365日相談可能な以下のフォームよりお問い合わせください。