EUの一般データ保護規則(GDPR)の運用開始

© European Union, 1995-2018

2018年5月25日、EUの一般データ保護規則(General Data Protection Regulation=GDPR)の運用が始まった。EU加盟国内※1 の個人データを扱うEU域内外全ての企業などに適用されるGDPR。世界が注目する同規則について、その導入の背景や規則の要点、日本企業に及ぼす影響などについて概説する。なお、本稿は同規則への基本的理解の普及を目的としているため、実際面での正確な詳細情報は、文末のリンク先などEUの公式資料を参照されたい。

個人情報の漏えいや不正利用から市民を守る

今日の社会においてデジタルデータは、経済成長や競争力、イノベーション、雇用創出、社会進歩のために欠かせない資源となっている。EUの域内総生産(GDP)に占めるデータ経済の割合は、2015年の1.94%、2016年の1.99%から、2020年には4%を超える見通しだ。一方、欧州では2億5,000万人が毎日インターネットを利用しており、個人情報の漏えいや不正利用のリスクは常に存在する。そしてこれらのリスクから個人情報が保護されることは市民の基本的権利にほかならない。信頼こそがデジタル経済発展の鍵を握る。

個人情報が保護されているという信頼の上に、デジタル経済の発展がある
© 2005-2018 by the European Union Agency for Network and Information Security

そのため、EU全域で、取り扱われる個人データの保護と管理、とりわけ市民自身が個人情報を管理できるようルールを定めた規則がGDPRである。対象となる個人データは、「個人が識別された、もしくは識別されうるあらゆる情報」とし、例として氏名、住所、電子メールアドレス、スマホや携帯電話などの位置情報、IP(インターネット・プロトコル)アドレス、広告用の端末識別ID(広告識別子)などが挙げられる。なお、暗号化、仮名化されていても、個人を特定できるデータは規則の対象となる。

一方、個人が識別できないよう真に匿名化された個人データは、もはや個人データにはならない。ただし、この匿名化は不可逆的でなければならない。匿名化データ以外に個人データとみなされないものとしては、企業の登録番号、「info@company.com」のような電子メールアドレスがある。

旧データ保護基準を大幅に強化したGDPR

インターネットがまだ初期段階であった1995年、EUは個人情報データ保護の基準を定めた「データ保護指令(95/46/EC)」を採択。その後のインターネットとデジタル経済の急速な発展を受けて、特に市民の権利および企業や団体に対するルールの2点に焦点を当てて同指令を改革したのが、GDPRである。GDPRは4年に及ぶ準備と議論の末2016年4月14日に採択され、同年5月25日に発効。2年間の準備期間を経て、本年5月25日に適用開始となった。なお、GDPRは「規則(Regulation)」であり、EU法体系では「指令」より拘束力が高く、加盟国を直接規制する。

従来の指令ではEU域内に物理的な拠点をもつ企業や団体が対象であったが、GDPRではEU市民の個人情報を取り扱うEU域内外全ての企業や団体が対象となっている。また従業員250人未満の中小企業が個人データを取り扱う場合の手続きを合理化したり、個人情報データの企業サービス間での移転をしやすくしたりするなど、市民の権利保護のためだけでなく、欧州のデジタル市場で活動する企業にとっても、ビジネス上の恩恵をもたらすルールとなっている。

データ保護は、「指令」から、加盟国を直接拘束する「規則」に。EU市民の個人情報を取り扱うEU域内外の全ての企業、団体が対象
© 2005-2018 by the European Union Agency for Network and Information Security

規則は、個人データの取り扱い関する原則、情報および個人データへのアクセス、第三国または国際機関への個人データの移転、救済や法的責任および制裁など11章99条にわたっており、主な特徴として(1)企業に対しては法的確実性を、EU市民に対しては域内全域で同じデータ保護レベルを保障、(2)EUでサービスを提供する全ての企業に同じルールを適用、(3)市民により強力かつ新たな権利を付与、(4)データ侵害に対するより強力な保護、(5)違反した場合の厳しい罰則規定――の5点が挙げられる。罰則規定では、制裁は効果的かつ違反の内容と釣り合ったものとする、とされており、違反の性質、期間、重大性などによって最高で2,000万ユーロか、企業の場合は世界の年間売上高の4%までの、どちらか高い方が制裁金として科される。

「デジタル単一市場」の推進に不可欠

GDPRは、デジタル時代における市民の基本的な権利を強化するとともに、域内のデジタル市場を一つに統合し、公正な競争ルールの下、消費者と事業者が、人、物、資本、サービスの自由移動の恩恵を等しく受けられる「デジタル単一市場」でのビジネス推進に必要不可欠なステップと位置付けられている。

デジタル単一市場は、ジャン=クロード・ユンカー委員長が現欧州委員会発足時より取り組み続けてきた10の優先課題の一つ。欧州のデジタル市場における革新的なデータ処理技術とサービスの発展には、電子化されたデータを自由に処理し、保管することができるデータの流動性が必須であるからだ。

規則の単一化でもたらされるメリット

GDPRにより市民は(1)自分の個人情報データを誰が、なぜ、どのように処理したかを、明確な情報として受け取る権利、(2)自分の個人データへのアクセスを企業に対して要求する権利、(3)ある企業がすでに所有する法的根拠をもたない個人データについて、削除を求めることができる、いわゆる「忘れられる権利」――などの権利やメリットを享受する。

一方、企業側のメリットも多い。特に、これまでEU加盟28カ国それぞれで定められていたデータ保護に関する法規制が、GDPRでは全てのEU加盟国に単一のルールが適用されるため、欧州全体でビジネスが展開しやすくなる。また、各国の監督機関による合同調査などの協力強化、国境を越えた事案を処理するための新たな意思決定手続き、およびガイダンスや紛争解決のための欧州データ保護委員会(European Data Protection Board)の創設など、ガバナンスも向上した。

個人データ保護に関するEU加盟国統一のルールができたことで、多国籍企業にとって欧州でのビジネスがより展開しやすくなる
© European Union, 1995-2018

例えば、欧州全土で建物や個人の顔が撮影可能なオンラインナビゲーションシステムとマッピングシステムを提供している多国籍企業(EUの複数加盟国に事業所が点在)の場合、これまでは該当する加盟国それぞれの法律に対処する必要があったが、GDPRの下では、1つの規則に対応すればよく、大幅な手間やコストの削減につながる。規則の単一化に伴うコスト削減効果は年間23億ユーロに上るとの試算もある。また、データを他の管理者に移転するデータポータビリティ権やデータ侵害の際の通知義務などが新たに導入された。

なお、GDPRが対象としない個人情報には、例えば公的部門が収集・保存しているものもある。そういったデータは、社会的変化やテロの対策、また人工知能の開発など公の福祉のために積極的に再活用されるべきである。また、非個人情報についてもそのEU域内の自由移動は別の規則で管理されている。

EU域外の企業にも影響を与えるGDPR

GDPRは、EU域内にいる個人(データ主体)の個人情報を取り扱う企業であればEU域内外を問わずに適用される規則だ。そのため日本国内に拠点を置く企業であっても、EU域内の個人に向けてサービスや商品を提供する場合は、GDPRを遵守する必要がある。また、域外の企業もEU内にある事業所が域内の個人データを取り扱う場合は、GDPRの対象となる。

日本を含むEU域外国とEU間における個人データの移転については、データ保護に関わる法整備がEUと同じ水準にあることを確認する「十分性の認定」をEUから受けなければならない(「十分性の認定」に関する詳細はこちら)。2018年6月現在、日本はこの「十分性の認定」をまだ受けていないため、EUからの個人情報データの移転については制約が残ったままの状況だ。EUにとって個人情報の保護は基本的な権利であり、他の貿易品のように交渉の道具とはなりえないが、EUの重要なパートナーである日本との間では、現在も「十分性の認定」に向けた対話を進めている(下の囲み参照)。同様の交渉は韓国とも行われている。

日本では、EUからの「十分性の認定」を受けるための努力が続けられている
© 2005-2018 by the European Union Agency for Network and Information Security

データ保護に関する日本との協議

2017年1月10日、欧州委員会は「グローバル化した世界における個人データの交換と保護(Exchanging and Protecting Personal Data in a Globalised World)」と題した政策文書を発表し、データ保護に関する法令が世界中で急速に普及しつつある状況を報告。個人情報がより強固に守られると同時に、個人データの流れをより円滑化できる新たな機会が到来していることを示した。

まず、個人情報保護法を改定した日本、および韓国がEUの取り組みの対象と特定され、日本とは2017年3月にドイツで開かれたCeBITフェアで、公式な対話が開始、「個人情報の自由な流れに必要な『十分性認定(an adequacy decision)』に向けて協力することで一致」し、「それは将来的な日・EUの自由貿易協定を補完し、両者間の揺るぎない信頼と協力関係を作り上げていく」と確認された。同年12月15日には欧州委員会のヴェラ・ヨウロヴァ委員と日本個人情報保護委員会の熊沢春陽委員が会談し、共同声明を発表。「数カ月にわたる取り組みの意義深い成果を評価し、それぞれの制度間の隔たりを埋めるための解決策を探った。次のステップではこの解決策をさらに具体化し、交渉を加速させていくことで合意した」と述べた。

個人情報保護に関する「十分性の認定」などについて、個人情報保護委員会の熊澤委員(左)と欧州委員会のヨウロヴァ委員(司法・消費者・男女平等担当、右)の間で建設的な会談が行われた(2018年5月31日、東京)
© European Union, 1995-2018

欧州データ保護デーとなる2018年1月28日、フランス・ティーマーマンス第1副委員長とアンドルス・アンシプ副委員長、ヴェラ・ヨウロヴァ委員、マリヤ・ガブリエル委員は、「EUはグローバルな個人データ保護の取り組みを牽引し、高い水準を設定することを誇りに思っており、われわれが進めるデータ保護の価値を国際レベルで広めていく。われわれの経済は国境を越えたデータのやりとりに大きく依存している。EU・米国間では個人情報データの移転を円滑にする「プライバシーシールド」を2016年にスタートさせた(プライバシーシールドに関する記事はこちら)。そして日本との間でも日・EU間の個人データの自由な流れを可能にするための交渉が進んでおり、大詰めを迎えている。個人データの交換に関する取り決めは、EUのデータ保護基準を十分に満たすものであるとともに、両者間の貿易をより円滑にする。われわれはEUレベルおよび国際レベルの双方で、セキュリティ。貿易、個人情報保護は、現代化とイノベーションと密接に関連していることを確実にしていく」と述べた。

ヨウロヴァ委員は5月31日にも東京で、相互に十分性を見出すことに向けた手続きを進めることを目指して、熊澤委員と会合を持ち、両者は「双方によって十分なレベルの保護を同時に見出すことは、現在、署名に向けて手続が進められている日・EU経済連携協定(EPA)の便益を補完し拡大するものであり、これは日EU間の戦略的なパートナーシップにも貢献する」と再確認した(共同ステートメントはこちら)。

**********************************

〈追加情報〉「EUと日本、世界最大の安全なデータ移転領域の構築に合意」(2018/07/17付 EU News 176/2018)

詳細情報
Reform of EU data protection rules (欧州委員会のウェブページ) 

参考情報
日・EU通商・投資関係「データ・フローとデジタル経済」(駐日EU代表部のウェブページ)

【更新情報】
2018/07/25 「データ保護に関する日本とEUの協議」に追加情報を付記  

※1 GDPRはEU全加盟国に加え、アイスランド・リヒテンシュタイン・ノルウェーの3カ国の居住者のデータも対象となる。つまり、EU28カ国とこれら3カ国からなる欧州経済領域(EEA)全体がその個人データ保護の適用対象となる。