個人情報保護において、欧州では1995年に個人データの保護に関してEUデータ保護指令が制定され、EU各国がそれに準拠した保護法を制定して情報管理を行ってきました。
しかし時代の変化に応える形で、EUデータ保護指令から新たな法制度への移行という形でEUデータ保護規則(GDPR Generaral Date Protection Regulatin、EU一般データ保護規則とも表記される。 以下「GDPR」という)が2016年4月14日に欧州議会の最終承認を得ました。そしてこのGDPRは同年5月4日にEU官報に掲載され、5月24日より法律として効力を有しています。
しかし、企業等に対する効力は2018年5月25日から発効とされており、企業等はこの2年間に必要な準備を整える必要があります。
なお、このGDPRは、「指令」から「規則」に法のレベルが切り替わり、EUのいずれの国内においても、その国の個人情報保護法より優先して統一的なルールとして直接適用されることになっています。
■関連するブログ記事:EUからの十分性認定について
・EUからの個人情報の移転に関する十分性認定と改正個人情報保護法・EU一般データ保護規則
2.GDPRの適用範囲(3条)
従来のEUデータ保護指令と今回のGDPRで大きく異なる点のひとつが、その適用範囲の違いです。GDPRは、EU内に拠点を有する企業だけでなく、EU内の個人に対して商品やサービスを提供しているEU外の企業(有償・無償を問わない)、またはEU内における個人の行動の監視(モニタリング)を行っているEU外の企業にも適用されるとしています(GDPR3条)。
つまり、ウェブサイト等を通じてEUの消費者に商品やサービスを提供している企業も、保護指令の適用対象となります。有償・無償問わず、オンラインゲーム、オンラインストレージサービス、SooSなどをEU内の消費者に提供している場合も含まれることになります。
「個人の行動の監視(モニタリング)」は、例えば、モバイルデバイスや自動車の位置情報の収集・監視をGPSにより行う場合、活動量計(アクティビティトラッカー)により個人の日常的なデータの収集を行う場合、インターネットを介した行動をcookie等でモニタリングを行う場合などが考えられますが、これらの行為がUE内の消費者に対してなされると、企業側はEU外にあっても、GDPRが適用されることになります。
(達野大輔「EU一般データGDPR 日本企業にとってのパターン別対応実務」『Business Law Journal』2016年8月号68頁)
3.用語の定義(4条)
GDPRにおける用語の定義はつぎのようになっています。
・個人情報(Personal deta)とは、特定された、または特定可能な自然人に関するすべての情報。名前、識別番号、位置情報、オンラインID、その他身体的・精神的、遺伝的、文化的、社会的な情報などで、直接的または間接的に個人の特定を可能にするもの。
・情報主体者(Deta Subject)とは、個人情報により特定された、または特定可能な自然人。
・情報管理者(Deta Controler)とは、個人または法人で、個人情報の処理の目的や方法を決定する者をさす。
・情報処理者(Deta Pocessor)とは、個人または法人で情報管理者のために情報を処理する者をいう。
・情報主体者(Deta Subject)とは、個人情報により特定された、または特定可能な自然人。
・情報管理者(Deta Controler)とは、個人または法人で、個人情報の処理の目的や方法を決定する者をさす。
・情報処理者(Deta Pocessor)とは、個人または法人で情報管理者のために情報を処理する者をいう。
この点、とくに日本の改正個人情報保護法では現段階で個人情報に該当するか否かあいまいな状態となっている、スマホ・携帯電話等の端末IDや携帯電話番号などはEUのGDPRでは個人情報に含まれる点に注意が必要です。
(岩村浩幸「EU個人情報保護規則のポイントと日本企業の対応」『ビジネス法務』2016年7月号80頁)
4.本人の同意(7条)、子どもの同意の処理(8条)・センシティブ情報(9条)
(1)本人の同意
GDPRでは同意について、「任意で行われたもので、対象となるデータが特定されており、説明を受けたうえでなされたもので、不明確でない」ものでなければならないと規定しています。個人はこの同意をいつでも取消すことができるとされています。
また、同意を取得したことの証拠となる記録を残す必要があり、同意を要求する文言はすぐわかるものにしておかなければならないとしています。
さらに、同意が任意とはいえない場合(ほかに選択肢がない場合、インターネットの画面で同意の欄のチェックボックスがすでに選択されている場合等)や、無関係な情報の提供を商品・サービスの提供の条件としているような場合にも任意の同意といえないとしています。
(2)子どもの同意
加えて、GDPR8条では、情報化社会サービス(Information society services)、つまりインターネット関連サービスに関して、16歳未満の子どもは有効な同意をなし得ず、保護者の同意が必要としています(この年齢は国により13歳まで引き下げることが可能)。
この点は、アメリカはすでに児童オンラインプライバシー保護法が13歳未満の子どもから保護者の承諾なしにオンラインで個人情報を収集することを禁止しています。
(石井夏生井「EU一般データ保護規則 世界的潮流から見た評価と第三国への影響」『Business Law Journal』2016年8月号75頁)
(3)センシティブ情報-特別な種類の個人データの取扱い
個人情報のなかでもとりわけデリケートで取扱いに注意が必要なセンシティブ情報(要配慮個人情報)について、GDPR9条1項は、「人種若しくは民族的素性、政治的思想、宗教的若しくは哲学的信条、又は労働組合員資格に関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータ」と定義し、その取得を原則として禁止しています。そして同2項以下で例外的に取得が許される場合を規定しています。
5.本人(情報主体者)の有する権利
(1)「忘れられる権利」(削除を要求する権利・17条)
利用目的に照らして個人データ保有の必要性がなくなったなどの事由がある場合、本人(情報主体者)は情報管理者に対して、本人に関する情報の遅滞なき削除を要求することができるとされています(17条)。
ただし、表現の自由や公益などのために必要な場合には、削除が認められないという例外も規定されています。
■関連するブログ記事
・「忘れられる権利」によりグーグルの検索結果の逮捕歴の削除の仮処分命令が認められた裁判例
(2)データ処理を制限する権利(18条)
個人データが正確でない場合や、個人データの取扱いが違法である場合、個人データが必要でなくなった場合等に、本人はデータ処理の制限を申出をすることができます(18条)。
その申出以後は、情報管理者は本人の同意のある場合でなければその個人データを処理することができなくなります。
(3)ポータビリティの権利(20条)
本人が事業者などある主体に個人データを提供した場合、その主体が有するその個人についての情報を、他の主体に移転することを要求することができる権利が規定されています(20条)。
(4)利用に異議をとなえる権利(21条)
GDPRでは、本人は、自分が同意をしていないにもかかわらず自らの個人データを利用されている場合等はいつでも異議をとなえる権利があると規定されています(21条1項)。
ただし、情報管理者がそのデータ処理に関して個人データの対象者の利益または基本的人権および自由に優先される正当な根拠を示した場合にはその限りではないと規定されています(21条1項ただし書)。そしてこのただし書が適用されない場合は、情報管理者は以後、当該個人データの利用をしてはならないと規定されています(21条3項)。
また、自らの個人データをダイレクトマーケティング(=外部の流通チャネルを介さずにターゲットの消費者との直接のコミュニケーションを図る手法)を目的とした処理に利用されることに対して本人が異議をとなえたときは、当該目的のために当該個人データの利用をしてはならないと規定されています(21条2項、3項)。
(5)プロファイリングに反対する権利(22条)
GDPRにおいて、本人は法的効果を生じさせるようなプロファイリングにさらされない権利を持つとされています(22条)。プロファイリングとは、個人データを自動的に処理してその個人的な側面を分析・予測する手法とされており、特に職務実績、経済状況、位置、健康、個人的嗜好、信頼性、行動を対象にすると規定されています。ただし、契約条項に定められている場合や、EU法に明記されている場合などは許されるとの規定も置かれています(同条2項以下)。
6.事業者の義務
(1)情報管理者の義務(24条)
GDPR24条1項はつぎのような条文を置いています。
「情報処理の性質、範囲、背景、目的と、自然人の持つ権利と自由におよぼすリスクの可能性と重大性を勘案したうえで、情報管理者は情報処理がGDPRに基づいて行われていることを確実にし、かつ、これを証明できるような適切な技術的および組織的な施策を実施しなければならない。これらの施策は必要に応じてレビューおよびアップデートされなければならない」
この「適切な技術的および組織的な施策」は従来のEUデータ保護指令から存在したものですが、個人情報を大量に扱う事業者においては高いレベルの施策が求められ、そうでない事業者においてはそれなりの施策が求められるとされています。
また、GDPR25条と32条において、個人情報の「仮名化」(Pseudonymisation)や暗号化も本人(情報主体者)の権利を守るための有効な手段であるとされています。この「仮名化」は、GDPRにおいては、追加情報なしでは特定の情報主体者を認識することができないような形に個人情報を変更することと定義されています。
追加情報は仮名化された情報とは分けて保管されなければならず、個人情報が特定の個人番号等に紐付けられないことを確実にするための技術的・組織的な施策を講じることが求められています。
なお、「匿名」(Anonymous)は、これまで通り、個人の特定が不可能とされる状態を表すこととされています。
(岩村・前掲67頁)
(2)情報処理者の義務(28条等)
従来のEUデータ保護指令においては、法令違反の責任は基本的に情報管理者が負うこととなっていました。しかし、今回のGDPRにおいては、つぎのとおり情報処理者も個別に責任を負うこととなりました。
第一に、情報処理者は、情報管理者からの書面による承認がなければ、他の情報処理者を利用することができないという義務が課されました。
第二に、情報処理者は、情報管理者からの指示がなければ、個人情報の処理を行ってはならないと規定されました。
また、情報管理者はGDPRに基づいて情報を処理し情報主体者の権利の保護を確実にするための適切な技術的および組織的な施策を実施することを保障できる情報処理者だけを利用することが求められており、そのために情報管理者と情報処理者の間の契約において含まれるべき条項が示されています。そしてこの条項を含んだ標準契約が今後、欧州委員会等から発出される予定です。
7.個人情報漏洩が発生した場合の対応(33条、34条)
従来のEUデータ保護指令においては、個人情報の情報漏洩が発生した場合に管轄当局等に届出を行う義務があるかどうかについて統一的な取扱いはされていませんでした。しかし、GDPRにおいては、統一的な取扱いとして、①当局に対する届出と、②影響を受けた本人に対する通知が要求されます(33条、34条)。
①の届出は、事案が発生してから72時間以内に届出を行わなければならないという厳しい条件が課せられており、遅れた場合は相当の理由が必要です。
ただし、「個人の権利および自由にリスクが生じるおそれのない場合」には届出を行わなくてもよいとされています。例えば、情報の保管された記録媒体を紛失したが、第三者がこれを見つける前に事業者自身がこれを見つけた場合などです。(これは今後、日本の個人情報保護法のガイドライン等へ影響を与えるのではないかと個人的に思います。)
②の本人への通知は、「個人の権利および自由にリスクが生じさせるおそれのある場合」に要求されます。ただしデータが暗号化されている場合等の場合は通知義務が免除されています。また、本人に通知がしきれない場合は、公表を行うこととされています。
(このように、GDPRは72時間以内に届出という条件以外は、日本に比べて事業者側にややゆるやかなように思われ、今後、日本の個人情報保護のガイドライン等における個人情報漏洩に関する規定へ影響を与えるのではないかと個人的に思います。)
8.個人情報の域外転送(45条~49条)
従来のEUデータ保護指令においてもEUからの個人データの国境を越えての移転には厳しい条件が課せられていましたが、GDPRにおいてもこの条件がより明確化されました。国境を越えて個人データの移転が認められるのはつぎのような場合です(45条~49条)。
・本人の明確な同意がある場合
・本人との契約の履行に必要な場合
・本人の利益のために第三者と締結された契約の履行に必要な場合
・公共の利益のために必要な場合
・訴えの提起またはその防御のために必要な場合
・本人が同意をなし得ない場合で本人の利益のため必要な場合
・個人データの十分な保護がなされているとのEU委員会の承認があった場合
・モデル条項(SCC Standard Contract Clauses )などにより、受領者が個人データの適切な保護のための対策を備えている場合
・当局の承認を受けた「拘束力がある企業内部規定」BCR(Binding Corporate Rules)を導入している場合
(達野・前掲71頁、岩村・前掲70頁、74頁)
・本人との契約の履行に必要な場合
・本人の利益のために第三者と締結された契約の履行に必要な場合
・公共の利益のために必要な場合
・訴えの提起またはその防御のために必要な場合
・本人が同意をなし得ない場合で本人の利益のため必要な場合
・個人データの十分な保護がなされているとのEU委員会の承認があった場合
・モデル条項(SCC Standard Contract Clauses )などにより、受領者が個人データの適切な保護のための対策を備えている場合
・当局の承認を受けた「拘束力がある企業内部規定」BCR(Binding Corporate Rules)を導入している場合
(達野・前掲71頁、岩村・前掲70頁、74頁)
9.GDPR違反に対する訴訟など(79条)
GDPRにおいては、GDPR違反があった場合に本人が訴訟を提起できる旨が明記されました(79条)。訴訟を提起できる場所は、情報管理者または情報処理者の所在する国、あるいは本人の住所地とされています。この訴訟は損害賠償を請求する民事的なものです。
また、本人は本人の所在地における個人データ保護当局に対しても訴訟を提起することができます。これは当局が情報管理者または情報処理者に対して適切な措置を取るよう求める訴訟です。
10.課徴金など(83条)
GDPRに違反した場合に個人データ保護当局等から科される課徴金は、EUデータ保護指令から増額されています。
とくに、本人の同意に関する事項、個人の有する権利に関する事項、越境データに関する規則の違反など、重要な規則の違反があった場合、最大2000万ユーロ、あるいは違反した企業のその年度の全世界における売上の4%に相当する額のいずれか高い方を上限として課徴金が科されることとされています(83条)。
このように、うえの、2.でもふれたとおり、さまざまなパターンで日本企業がGDPRの適用を受けるケースが考えられるため、日本企業も訴訟リスク・課徴金などの行政処分を受けるリスクを意識した対応が求められます。
■参考文献など
・達野大輔「EU一般データGDPR 日本企業にとってのパターン別対応実務」『Business Law Journal』2016年8月号68頁
・石井夏生井「EU一般データ保護規則 世界的潮流から見た評価と第三国への影響」『Business Law Journal』2016年8月号75頁
・岩村浩幸「EU個人情報保護規則のポイントと日本企業の対応」『ビジネス法務』2016年7月号60頁
・個人データ保護規則案 仮訳|総務省
・個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)|一般財団法人日本情報経済社会推進協会
■関連するブログ記事
・「忘れられる権利」によりグーグルの検索結果の逮捕歴の削除の仮処分命令が認められた裁判例
・【解説】個人情報保護法の改正法案について/ビッグデータ・匿名加工情報
 |
 |
 |
 |
法律・法学 ブログランキングへ
にほんブログ村