[知っておいて損はない気になるキーワード解説]

2018年7月16日(月)清水 響子

【用語】GDPR

　去る2018年5月25日、ついに施行された欧州一般データ保護規則、GDPR（General Data Protection Regulation）。違反企業に対する世界売上高の4%ないし2000万ユーロ（約24億円）という巨額な制裁金で注目され、Veritasの調査によると対象となる世界900社の対策費用は平均1400万米ドル（約15億7600万円）ともいいます。 対策が遅れ気味といわれる日本企業も、特にEU域外へのデータ移転に関連する対策が慌ただしくなってきたようです。

　GDPRは、Data Protection by Design and by Default原則に基づく個人の権利保護、EUデジタル市場の保護・育成のための規制強化とともに個人データの越境移転のルールを統一しました。保護対象はEU加盟28カ国及びアイスランド、ノルウェー、リヒテンシュタインの3カ国を含む欧州経済領域（European Economic Area : EEA）に所在する全ての個人データ。域外への持ち出しに関する厳格な規制が敷かれ、在EEA法人にとどまらず世界の全ての法人に準拠義務があります。

　各国のデータ保護監督機関（Supervisory Authority）のほか、「データ主体（Data Subject）」「データ管理者（Controller）」「データ保護責任者（Data Protection Officer : DPO）」「データ処理者（Processor）」といったステークホルダーも明確に定義されました。

【イノベーション】デジタル市場経済に対応

　GDPRは2010年来EUが進めてきた欧州単一デジタル市場（Digital Single Market : DSM）戦略の礎といえます。DSM戦略が目指す公正でバランスの取れたデータ経済市場の成長とそのメリットを、ビジネスと個人ユーザーが自覚と同意のうえで享受できるための条件を定めています。

　内容は1995年制定のECデータ保護指令（Directive 95／46／EC）をGAFAが席巻する21世紀のIT社会に合わせてアップデートしており、昨2017年の日本における個人情報保護法改正や個人データに関するロシア連邦法改正（2015年）、中国サイバーセキュリティ法（2017年）、フィリピンデータプライバシー法（2012年）といった、個人データの国外移転を規制し、域内管理を目指す各国のルール整備と同様の動きです。GDPRに比べると緩やかながら、先日は米カリフォルニア州でも消費者プライバシー法が成立しました。

EU全体の統一ルール

　日本語だと「規則（Regulation）」と「指令（Directive）」の違いがピンときませんが、EU法では明確な定義があり、Regulationは国内法に優先して加盟国の政府や企業、個人へ直接適用される、最上位の法令です。Directiveとして制定されたECデータ保護指令は、加盟国政府に対する法的拘束力と政策目標達成のための措置の要求にとどまり、国内法や措置内容は各国の判断に委ねられるため、域内でも国ごとに異なる法律への対応が必要で、あらゆる海外法人の拠点が加盟28カ国ごとに個別対応の負担を迫られてきました。

　GDPRのもとでは加盟国間で見解の違いなどが生じたとしても、欧州データ保護委員会（European Data Protection Board）の判断がより強い拘束力を持つため、”one-stop-shop”で済むようになります。つまり保護対象が厳格化された一方、対応手段は緩和されたともいえます。EUはGDPRによる対応法人の利益総額を1年あたり23億ユーロ（約3,000億円）と見積もっています。

基本的人権としての個人データ

　個人データは基本的人権と位置づけられ、データ主体である個人（natural person）の法人によるデータ収集や処理に対する主体的な選択権を定義しています。個人データの処理を行うには、法人の義務すなわち個人データを扱うシステムや管理体制等に必要なプライバシー保護要件を満たして監督機関の承認を受け、さらに個人一人ひとりにデータ処理の適法性（サービス提供に必要なデータだけを取得するなど）を説明したうえ、あらかじめ同意を得る必要があります。

　個人情報はECデータ保護法令に比べより明確・厳格に定義され、クッキーやIPアドレス、位置情報などが対象に含まれました。匿名化されたデータは対象外ですが、可逆性のある仮名化データや暗号化データは「個人情報」です。

　個人データ主体には第15条「アクセス権利（Right of access by the data subject）」、第16条「訂正権利（Right to rectification）」、第17条「忘れられる権利（Right to erasure、right to be forgotten）」、第18条「処理制限の権利（Right to restriction of processing）」、第20条「データポータビリティ権利（Right to data portability）」、第21条「異議申し立ての権利（Right to object）」の権利が保証されています。

　また第22条「プロファイリングを含む自動化された意思決定」は、AIなどの自動的なプロファイリングだけに基づく個人に対する判断を拒絶する権利を定めており、例えば人事評価や採用などにおいて、判断者側には人間が介在することを求めています。データに処理を行った結果、またデータ取扱違反が発生した場合には、その情報提供を受けることも個人の権利です。また、16歳以下の子供は特に強くその権利を保護され、個人情報提供には親権者の同意が求められます。

　「法人」の義務はどうでしょうか。Data Protection by Design and by Default原則のもと、適法、公正、かつ透明性のある手段で処理（Processing）することが義務化されています。サービス提供などの目的に合致しないデータ処理は禁止です。「処理」には個人データまたはデータベースに対して行われる取得、記録、編集、構造化、保存、変更、復旧、参照、利用、移転による開示、周知または周知可能にする行為、整列または結合、制限、消去、破壊といったあらゆる作業が含まれ、その適法性を証明するための処理の記録も必要です。例えば営業が対面で取得した取引先の名刺をExcelや名刺管理ソフトに取り込みメールを送ったりマーケティング部門に引き渡してCRMデータベースとして統合したり、顧客の求めに応じてデータを消去、といった行為の全てが処理に該当します。

データ「移転」のハードル

　データ処理をEEA域外で行うケースが「移転」。原則は禁止ですが、国レベル、法人レベルの条件を満たすことにより可能になります（ただしデータ移転先が「十分な水準の個人情報保護が保証された国」という条件は95／46／ECですでに規定されており、GDPRで新たに生じた移転条件ではありません）。

　前者は移転先の国がEUにより十分なデータ保護対策を行っているという認定を受けていること（十分性認定）で、現時点の認定国はアルゼンチン、ニュージーランド、カナダ、イスラエルなど11カ国です。日本は現時点で十分性認定国ではありませんが、欧州委員会と日本の個人情報保護委員会は2018年秋をめどに十分性の相互認定を実現するよう調整を重ねており、国レベルでは日EU間の越境データ移転の条件が満たされる見込みです。

　国レベルの移転条件が満たされても、法人レベルでの対策を免れるわけではありません。データ移転の適法性を証明できるよう個人情報保護方針やデータ処理の業務プロセス、問い合わせ窓口などを整備する必要があります。外注先との契約見直しが伴う場合もあるでしょう。さらにデータの取扱規模によってはDPOを設置し、対象である個人一人ひとりから法人または拠点単位で上記権利保護に関する事前同意を得て、初めて「移転」が可能になります。