トピックス

2018.11.30
NEWS

【GDPR】日本企業のGDPRに対する対応(総論)

(執筆者:渡邉雅之

(仮訳)
GDPRの地理的適用範囲に関するガイドライン(仮訳)

(モデル例)
個人情報取扱規程(補完的ルール対応)
匿名加工情報取扱規程(補完的ルール対応)
GDPRプライバシーポリシー

(連載)
【GDPR】GDPRに基づくプライバシノーティス・プライバシーポリシー(モデル例も参考に)
【GDPR】十分性認定と個人情報保護委員会の補完的ルール(補完的ルールに基づく個人情報取扱規程・匿名加工情報等取扱規程のモデル例も)
【GDPR】日本企業のGDPRに対する対応(総論)
【GDPR】GDPRにおける個人データ
【GDPR】「地理的適用範囲に関するガイドライン」の仮訳

 GDPR上の管理者または処理者としての対応(および/または)GDPRが要求している越境データ移転の対応をしなければなりません。
 
1.管理者または処理者となる場合
(1)管理者となる場合
「個人データ」とは、識別された又は識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいいます(GDPR4条1項)。
「処理」とは、自動的な手段であるか否かにかかわらず、個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の作業をいいます。この作業は、取得、記録、編集、構造化、保存、修正又は変更、復旧、参照、利用、移転による開示、周知又はその他周知を可能なものにすること、整列又は結合、制限、消去又は破壊することをいいます(GPDR4条2号)。我が国の個人情報保護法における、個人データの「取得・入力」「利用・加工」「保管・保存」「第三者提供(移送・送信)」「消去・廃棄」「漏えい事案等への対応」の各段階に相当するもので、事業者(管理者・処理者)による個人データのあらゆる処理を意味する非常に広い概念です。
「管理者」(controller)とは、個人データの処理(processing)の目的及び手段を決定する者をいいます(GDPR4条7号)。
 日本企業が「管理者」となるのは次のいずれかの場合です。
①EU域内に現地法人、支店、駐在員事務所などの事業所を有する場合(GDPR3条1項)
 ⇒EU域内の現地法人、支店、駐在員事務所などの事業所が管理者としての義務を負う。
②EU域内の現地法人、支店、駐在員事務所の個人データの処理を日本の事業所が行う場合
 ⇒日本の事業所が管理者としての義務を負う。
③EU域内に事業所を有しないものの、(a) EU 在住のデータ主体に対する商品又はサービスの提供に関する処理を行う場合、または、(b)EU域内で行われるデータ主体の行動の監視を行う場合。(GDPR3条2項)
 
 上記②は、GDPRが域外適用される場合であり、「(a)EU 在住のデータ主体に対する商品又はサービスの提供に関する処理を行う場合」とは、EU域内の市民に対して、商品やサービスを提供する明確な意思があるかということで、EU域内で用いられている言語や通貨を用いているか、等といった観点で判断されます。
(2)処理者となる場合
 「処理者」(processor)とは、「管理者」のために個人データの処理を行う者をいいます(GDPR4条8項)。日本の個人情報保護法で言えば、個人データの取扱いの委託先に該当するものです。
 日本企業は、EU域内の管理者(自社の現地法人、支店、現地法人等を含む。)から個人データの処理を委託される場合には、「処理者」となります。これは、「処理」が日本国内で行われる場合でも同じです。
(3)日本企業が管理者または処理者となる場合の対応
 日本企業は、管理者または処理者となる場合、少なくとも、EU域内の事業所(現地法人、支店、駐在員事務所等)において、GDPRと日本の個人情報保護法とのGAPを分析した上で、追加の対応をする必要があります。
また、「GDPRが域外適用(GDPR3条2項)される場合で管理者となる場合」や「日本国内で管理者のためにEU域内の個人データの処理をする場合」には、日本国内の事業所についても、GDPRと日本の個人情報保護法とのGAPを分析した上で、追加の対応をする必要があります。
技術的安全管理措置・組織的安全管理措置(GDPR32条1項)などは、日本の個人情報保護法で要求される安全管理措置のレベルとはあまり差はないので、センシティブ情報(GDPR9条、10条)やデータポータビリティ(GDPR20条)などが問題とならない一般の日本企業においては、特に対応が求められるのは以下の事項です。
処理の記録義務、データ影響保護評価、データ保護オフィサーについては、これらに対応しなくてもよい場合もあります。
 
  • EU域内での「主たる事業所」の指定(GDPR4条16項)
  • 適法な処理の原則(GDPR6条1項)の分析(特に、データ主体の同意に基づくか、契約履行に必要か、管理者・第三者の正当な利益のため必要か検討)
  • プライバシー・ノーティスの整備、プライバシーポリシーの見直し(GDPR12条~14条)
  • 処理の記録義務(GDPR30条1項)への対応
  • データ保護影響評価(GDPR35条)の要否の検討
  • データ保護オフィサー(DPO)の指名(GDPR37条)
 
 なお、域外適用が認められる場合(GDPR3条2項)には、EU域内に代理人を設置する必要があります(GDPR28条)。
 
2.越境データ移転への対応
 「日本企業のEU域内の事業所から日本国内の事業所にデータ主体の個人データの移転をする場合」、または、「日本企業が管理者または処理者とならない場合でもEU域内から日本国内の事業所にデータ主体の個人データの移転をする場合」は、越境データ移転の対応をする必要があります。
 とりわけ、EU域内の事業所(現地法人、支店、駐在員事務所等)の従業員の個人データを日本国内の事業所に移転する場合や管理者や処理者とはならないもののEU域内の個人顧客や法人顧客の従業員の個人データを取得することになるような場合に問題となります。
 これは、日本が欧州委員会から「十分性認定」(GDPR45条)を取得する前後で対応が異なってきます。
 日本が「十分性認定」を取得前は、「拘束的企業準則」(GDPR46 条2項(b)号)や「標準データ保護条項(実際にはEUデータ保護指令の下で認められた標準契約条項)」(同項(c)号・(d)号))による対応(特に「標準契約条項」による対応))をするか、あるいは、例外的な状況で適用できる「越境データ移転のリスク情報を提供した上での明示的なデータ主体の同意」(GDPR49条1項(a)号)、「契約の履行に必要」(同項(c)号)により対応してきました。
 日本が「十分性認定」を取得後は、既に「拘束的企業準則」や「標準データ保護条項(標準契約条項)」による対応をしている日本企業を除いて、個人情報保護委員会の「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」に基づく対応をする必要があります。