トピックス

2017.09.06
NEWS

EU一般データ保護規則(GDPR)(第1回):EU一般データ保護規則とは?

【執筆者:渡邉雅之】
今回は、2018年5月に施行されるEU一般データ保護規則(General Data Protection Regulations)について解説いたします。
なお、ご相談については下記にご連絡ください。
弁護士法人三宅法律事務所 パートナー
弁護士 渡邉 雅之
TEL: 03-5288-1021

1 EU一班データ保護規則とは?
EU加盟国においては、これまでプライバシー保護の枠組みとして、1995年10月24日に採択(1998年10月24日発行)された個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令」(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下「EUデータ保護指令」といいます)が適用されています。
 
2016年4月14日に、あらたなEU一般データ保護規則(GDPR: General Data Protection Regulation)が欧州議会により採択され、2018年5月25日から適用される。EU一般データ保護規則は、EUデータ保護指令に置き換わるものです。

EU一般データ保護規則は、EU基本憲章8章に規程されている個人データの保護への権利を具体化したもの。EUデータ保護指令よりも個人の権利が強化されるとともに、事業者の義務が厳格化されています。

EUデータ保護指令が各加盟国で国内法化する必要があるのに対して、EU一般データ保護規則は各加盟国での国内法化は不要です。EU一般データ保護規則は、以下の各点においてEUデータ保護指令よりも強化されています。
 ・透明で適切なプライバシーポリシーの提供
 ・明示的な同意の取得
 ・忘れられる権利
 ・データ・ポータビリティの権利
 ・プロファイリングの拒否
 ・16歳以下の利用者について保護者の同意
 ・データ違反時の報告・連絡(「可能な限り72時間以内」)
 ・データ保護影響評価
 ・監督機関による高額の制裁金(下表を参照)

制裁金の上限額の基準 義務違反の類型(根拠条文はEU一般データ保護規則)
企業の全世界年間売上高の2%、または、1,000 万ユーロのいずれか高い方(83条) •   16 歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(8条)
•適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(25条、28条)
•EU 代理人を選任する義務を怠った場合(27条)
•処理活動の記録を保持しない場合(30条)
•監督機関に協力しない場合(31条)
•リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(32条)
•セキュリティ違反を監督機関に通知する義務を怠った場合(33条)
•データ主体に通知しなかった場合(34条)
•データ保護影響評価を行なわなかった場合(35条)
•データ保護影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に相談しなかった場合(36条)
•データ保護責任者を選任しなかった場合、または、その職や役務を尊重しなかった場合(37~39条)
企業の全世界年間売上高の4%、または、2,000 万ユーロのいずれか高い方(83条) •          個人データの処理に関する原則を遵守しなかった場合(5条)
•          適法に個人データを処理しなかった場合(6条)
•          同意の条件を遵守しなかった場合(7条)
•          特別カテゴリーの個人データ処理の条件を遵守しなかった場合(9条)
•          データ主体の権利およびその行使の手順を尊重しなかった場合(12〜22条)
•          個人データの移転の条件に従わなかった場合(44〜49条)
•          監督機関の命令に従わなかった場合(58 条)

2 日本企業への影響
 第2回以降で詳しくご説明いたしますが、次の2点において日本企業に影響を与えることになります。
(1)越境データ移転の制度
 EU域内からEU域外の第三国に個人データを移転するには、原則として欧州委員会から十分性の決定を得なければなりません(45条)。
もし十分性の認定が得ることができない場合は、個人データの移転を受けるEU域外の企業は、
①拘束的企業準則(binding corporate rules)、②標準データ保護条項(standard data protection clauses)、③行動準則(codes of conduct)、④認証(certification)のいずれかを採用する必要があります。
 日本の個人情報保護委員会は、現在、十分性の認定が得られるように鋭意努力中です。
(2)インターネットを通じてのEU域内の居住者への商品・サービスの提供
インターネットを通じて、EU域内の居住者に商品・サービス等を提供する場合には、EU域内に「代理人」を設置する義務を負います。

こちらについては、インターネットで、ユーロ建ての表示をしないなどの工夫が必要となります。

3 参考になるウェブサイト
以下をご参考ください。

〇EU一般データ保護規則・条文
http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN
〇個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)(一般財団法人日本情報経済社会推進協会(JIPDEC))
https://www.jipdec.or.jp/archives/publications/J0005075
〇「EUデータ保護一般規則前文私訳」(夏井高人明治大学教授)
https://rp.kddi-research.jp/download/report/GN2016001