GDPR はじまる

(1/1)
GDPR
欧州連合(EU)は、2018年(平成30年)5月25日、一般データ保護規則GDPR;General Data Protection Regulation)を施行しました。
複数の国、地域にまたがるオンライン・サービスの世界では、個人情報保護が厳密なところから無策のところまで、温度差があります。一方、クラウドサービスの利用拡大で取得・分析されるビッグデータに含まれるプライバシー情報の保護や、サイバー攻撃、内部不正による個人情報漏洩リスクも高まっています。
そこで、EUデータ保護指令を置き換える目的で GDPR が施行され、EU域内の個人データを保護することになりました。この影響は、EU域内からアクセス可能な全世界の企業、団体、組織に及ぶことになりました。たとえば、EUから旅行の予約をしたり書き込みが行えるようなサイトは、すべて GDPR に従わなければいけません。

EUデータ保護指令から GDPRへ

1993年(平成5年)に誕生したEUは、1995年(平成7年)10月24日、EUデータ保護指令(Data Protection Directive 95)を採択しました。これは、EU加盟各国の個人情報保護に関わる法制度の共通化を求めた指令で、3年後の1998年(平成10年)10月25日までに、国内法にデータ保護指令を反映するように求めるものです。
データ保護指令第25条には、EU加盟国から域外の第三国へ個人データを移転する際の規定があり、個人データの保護に関する措置が、EUデータ保護指令の水準に満たしていない第三国やその国の企業には個人データを移転してはならないとしていました。
この規定を受け、EU域外の各国が、個人情報保護制度の確立を急ぐことになりました。わが国でも、2003年(平成15年)5月23日、個人情報保護法が成立しました。

一方、EUデータ保護指令は指令(Directive)であり、指令の中で命じられた結果についてのみ、加盟国を拘束し、それを達成するための手段と方法は加盟国に任されます。このため、加盟各国の国内法の内容はバラバラのものとなってしまいました。
そこで、すべての加盟国を拘束し、採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる規則(Regulation)としてデータ保護指令が見直され、GDPR は、2012年(平成24年)に立案、2016年(平成28年)4月に採択されたのです。
そして、2018年(平成30年)5月25日の施行に伴い、EUデータ保護指令は GDPR に置き換わることになりました。

GDPRの特徴

EUデータ保護指令も GDPR も、保護の対象となるのは personal data(個人データ)です。個人情報そのものを対象とする、わが国の個人情報より範囲が狭いのです。ただし、personal data の性質が異なります。
GDPR では、personal data(個人データ)は、識別されたまたは識別され得る自然人(データ主体)に関する全ての情報を指します。ここで、識別され得る自然人とは、特に氏名、個人識別番号、位置データ、オンライン識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的並びに社会的アイデンティティに特有な1つまたはそれ以上の要素を参照することによって、直接的または間接的に識別される者をいいます。IT技術の発達を受け、たとえばGPSの位置データなどの情報も個人のプライバシーを侵害する重要な情報に当たると考えているのです。

また、個人データの処理および第三者提供について「本人の明確な同意」が必要とされています。これに違反した場合、最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されるという罰則規定が定められています(規則83条5項)。
ちなみに、わが国の個人情報保護法も、2016年(平成28年)の改正で、本人同意が必要となりました。

忘れられる権利

GDPR には「忘れられる権利」(規則17条)が盛り込まれました。
取得目的との関係でデータが必要とされなくなった場合や同意を撤回した場など、一定の要件を満たす場合、自らに関する個人データを削除させる権利や、当該データのさらなる拡散を停止させる権利を認めたものです。

データ移転と EPA

GDPR は、personal data の処理を行う controller(管理者)の義務が大幅に強化されています。
なかでも、取り扱う personal data の漏洩などインシデントが発生した場合は、判明後72時間以内に監督当局に届け出なければなりません。つまり、72時間以内に迅速な初期報告を行える体制を整えることが求められているのです。

さらに、EU域内の personal data を域外に移転する際、移転先の国や企業組織で十分なデータの保護措置が行われていることの認定を受けなければなりません。移転には、単に持ち出すことを指すのではなく、EU域外からリモートで域内のデータにアクセスし、画面表示するといったことも含まれます。
GDPR 違反となることを恐れ、アメリカの新聞各社はEUからのアクセスをブロックしました。
わが国のオンライン・サービスも GDPR に抵触することが懸念されていましたが、2018年(平成30年)7月17日、日本政府はEUと経済連携協定(EPA)に調印し、このなかで、わが国のデータ保護体制レベルが GDPR と同等であることを確認しました。これにより、EUからのデータ移転に関してあらたな体制、契約を締結する必要性は低くなったのですが、 GDPR の規定については通常通りの対応が求められます。

制裁事例

2019年(平成31年)1月21日、フランスのデータ保護機関「情報処理・自由全国委員会」(CNIL)が、個人情報利用の合意をユーザーから得る手続きが不適切だったなどとして、米Googleに5千万ユーロの制裁金を科すと発表しました。CNILが科した制裁金としては過去最高額で、GDPRに基づく米IT大手向けの初の制裁事例となります。

Googleは集めた個人情報を広告のカスタマイズなどに使っていますが、CNILは、Androidスマートフォンの初期設定で、5回クリックしないと個人情報利用の説明にたどり着けないなど、GDPRが定める「明瞭で平易な」状態になっていないことを問題視ししました。この調査は民間団体の訴えを受けて始まりました。

参考サイト

(この項おわり)
header