GDPR はじまる

(1/1)
GDPR
欧州連合(EU)は、2018 年(平成 30 年)5 月 25 日、一般データ保護規則GDPR;General Data Protection Regulation)を施行しました。
複数の国、地域にまたがるオンライン・サービスの世界では、個人情報保護が厳密なところから無策のところまで、温度差があります。一方、クラウドサービスの利用拡大で取得・分析されるビッグデータに含まれるプライバシー情報の保護や、サイバー攻撃、内部不正による個人情報漏洩リスクも高まっています。
そこで、EU データ保護指令を置き換える目的で GDPR が施行され、EU 域内の個人データを保護することになりました。この影響は、EU 域内からアクセス可能な全世界の企業、団体、組織に及ぶことになりました。たとえば、EU から旅行の予約をしたり書き込みが行えるようなサイトは、すべて GDPR に従わなければいけません。

EUデータ保護指令から GDPRへ

1993 年(平成 5 年)に誕生した EU は、1995 年(平成 7 年)10 月 24 日、EU データ保護指令(Data Protection Directive 95)を採択しました。これは、EU 加盟各国の個人情報保護に関わる法制度の共通化を求めた指令で、3 年後の 1998 年(平成 10 年)10 月 25 日までに、国内法にデータ保護指令を反映するように求めるものです。
データ保護指令第25 条には、EU 加盟国から域外の第三国へ個人データを移転する際の規定があり、個人データの保護に関する措置が、EU データ保護指令の水準に満たしていない第三国やその国の企業には個人データを移転してはならないとしていました。
この規定を受け、EU 域外の各国が、個人情報保護制度の確立を急ぐことになりました。わが国でも、2003 年(平成 15 年)5 月 23 日、個人情報保護法が成立しました。

一方、EU データ保護指令は指令(Directive)であり、指令の中で命じられた結果についてのみ、加盟国を拘束し、それを達成するための手段と方法は加盟国に任されます。このため、加盟各国の国内法の内容はバラバラのものとなってしまいました。
そこで、すべての加盟国を拘束し、採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる規則(Regulation)としてデータ保護指令が見直され、GDPR は、2012 年(平成 24 年)に立案、2016 年(平成 28 年)4 月に採択されたのです。
そして、2018 年(平成 30 年)5 月 25 日の施行に伴い、EU データ保護指令は GDPR に置き換わることになりました。

GDPRの特徴

EU データ保護指令も GDPR も、保護の対象となるのは personal data(個人データ)です。個人情報そのものを対象とする、わが国の個人情報より範囲が狭いのです。ただし、personal data の性質が異なります。
GDPR では、personal data(個人データ)は、識別されたまたは識別され得る自然人(データ主体)に関する全ての情報を指します。ここで、識別され得る自然人とは、特に氏名、個人識別番号、位置データ、オンライン識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的並びに社会的アイデンティティに特有な 1 つまたはそれ以上の要素を参照することによって、直接的または間接的に識別される者をいいます。IT 技術の発達を受け、たとえば GPS の位置データなどの情報も個人のプライバシーを侵害する重要な情報に当たると考えているのです。

また、個人データの処理および第三者提供について「本人の明確な同意」が必要とされています。これに違反した場合、最大で 2,000 万ユーロまたは全世界の総売上の最大 4%のいずれか高い方が課されるという罰則規定が定められています(規則 83 条 5項)。
ちなみに、わが国の個人情報保護法も、2016 年(平成 28 年)の改正で、本人同意が必要となりました。

忘れられる権利

GDPR には「忘れられる権利」(規則 17 条)が盛り込まれました。
取得目的との関係でデータが必要とされなくなった場合や同意を撤回した場など、一定の要件を満たす場合、自らに関する個人データを削除させる権利や、当該データのさらなる拡散を停止させる権利を認めたものです。

データ移転と EPA

GDPR は、personal data の処理を行う controller(管理者)の義務が大幅に強化されています。
なかでも、取り扱う personal data の漏洩などインシデントが発生した場合は、判明後 72 時間以内に監督当局に届け出なければなりません。つまり、72 時間以内に迅速な初期報告を行える体制を整えることが求められているのです。

さらに、EU 域内の personal data を域外に移転する際、移転先の国や企業組織で十分なデータの保護措置が行われていることの認定を受けなければなりません。移転には、単に持ち出すことを指すのではなく、EU 域外からリモートで域内のデータにアクセスし、画面表示するといったことも含まれます。
GDPR 違反となることを恐れ、アメリカの新聞各社は EU からのアクセスをブロックしました。
わが国のオンライン・サービスも GDPR に抵触することが懸念されていましたが、2018 年(平成 30 年)7 月 17 日、日本政府は EU と経済連携協定(EPA)に調印し、このなかで、わが国のデータ保護体制レベルが GDPR と同等であることを確認しました。これにより、EU からのデータ移転に関してあらたな体制、契約を締結する必要性は低くなったのですが、 GDPR の規定については通常通りの対応が求められます。

制裁事例

2019 年(平成 31 年)1 月 21 日、フランスのデータ保護機関「情報処理・自由全国委員会」(CNIL)が、個人情報利用の合意をユーザーから得る手続きが不適切だったなどとして、米Google に 5 千万ユーロの制裁金を科すと発表しました。CNIL が科した制裁金としては過去最高額で、GDPR に基づく米IT 大手向けの初の制裁事例となります。

Google は集めた個人情報を広告のカスタマイズなどに使っていますが、CNIL は、Android スマートフォンの初期設定で、5 回クリックしないと個人情報利用の説明にたどり着けないなど、GDPR が定める「明瞭で平易な」状態になっていないことを問題視ししました。この調査は民間団体の訴えを受けて始まりました。

参考サイト

(この項おわり)
header