人も自然も輝く未来に

ブログ

2019年7月9日

個人データ保護の未来が見えるGDPR

GDPR(General Data Protection Regulation)は、EUの一般データ保護規則です。昨年5月25日に完全施行されました。

世界で最も厳しい個人データ保護規制と言われ、日本企業も無関係ではありません。

 

無関係でない理由は、いわゆる「域外適用ルール」があるからです。

「域内」とは、欧州経済領域(EEA)で、EU加盟28か国にアイスランド、リヒテンシュタイン、ノルウェー、が含まれます。

日本企業でも、この域内に「拠点」を有する場合の他、EEA域内の個人向けに商品やサービスを提供してその個人データを利用する場合も、適用があります。ただ、日本国内の事業者がウェブサイトで、英語版も作って世界中からアクセス可能にしているだけでは、適用されるリスクはほぼ無いと考えてよいでしょう。

 

「域外適用ルール」の趣旨は、EEA域内(EU域内)の個人データをグローバルに保護することにあります。ですから、域外適用ルールが適用されるか否かは、EU域内の個人情報をターゲットにしているか否か、がメルクマールになります。これは言うまでもなく、GAFA(いずれも米国企業ですよね)の「魔の手」から自国民を護る、が立法の動機、目的です。

 

この趣旨は、EU域内の個人データを域外第三国に移転することの原則的禁止、にも表れています。欧州委員会が、個人データ保護水準が十分に(GDPRと同程度)確保されていると認めた(これを「十分性認定」といいます)国や地域でなければ、移転が認められません。

日本は、今年1月23日に十分性認定を受けました。但し、フリーパスというわけではありません。日本の個人情報保護法は、GDPRと比べれば、保護の度合がまだまだ低いので、日本の個人情報保護委員会が定めた「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(略して「補完的ルール」)を、個人情報保護法の遵守にプラスして遵守する必要があります。

 

個人データの保護の内容面でも、GDPRは、『自己情報コントロール権』の確保をより徹底する趣旨・目的が明白です。

個人データの「保護」と「利活用」という現代的問題に対して、「保護」に軸足を置く立場を明確にしました。

 

GDPRでは、個人データの取扱いに法的根拠が要求され、取得には原則として事前の本人同意が必要です。しかも、同意が有効と認められるには、任意かつ真意であること、明示であること、判断材料となる情報提供のもとであること、同意の対象が特定されていること、が必要とされます。

日本のウェブサイトでは、利用規約に「同意」があってもプライバシーポリシーは閲覧だけ、とか、プライバシーポリシーの同意が利用規約の同意とひとまとめにされたているのをよく見ますが、これはGDPRならNGになります。

 

この他、忘れられる権利(消去権)、データポータビリティ権、プロファイリング異議申立権、などの権利規定や、データ侵害(のおそれも)を認識した事業者は72時間以内にデータ保護局に通報する義務、違反した場合の巨額(2000万ユーロまたは全世界売上高4%)の制裁金、など、日本の個人情報保護法のかなり先を行く内容が規定されています。

 

日本中小企業の多くは「ウチはEU向けに事業展開しているわけでもないから・・」と思っておられるかもしれません。が、日本もGAFAから日本人の個人データを真剣に護ろうとするなら、GDPRの方向で規制整備がされていくと予想されます。

 

GDPRは関係ないと考えるのでなく、GDPRに日本の個人データ保護の未来が見えるかもしれない、と考えてみてはどうでしょうか?

 

<参考>

個人情報保護委員会のGDPR専門サイト

https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

 

個人情報保護委員会の「補完的ルール」

https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf


このページのトップへ


Copyright (c) 2011 赤津法律事務所 ALL Rights Reaserved