GDPRとは、EU域内の個人の情報(個人データ)を守るために、個人データの「処理」と「移転」に関する法的ルールなどを規定したEUの法律です。今回は、世界で最も厳しい個人情報保護法と呼ばれることもあるこの法律について、概要や内容と併せて日本企業が知っておくべきポイントなどを紹介します。
- GDPR制定の背景
- GDPRの地理的適用範囲(条文)
最後に
GDPR(一般データ保護規則)とは?概要を簡単に
GDPRはEU域内の個人の情報(個人データ)を守るための法律で、個人データの「処理(取扱い)」と「移転」に関する法的ルールなどを規定しています。ごく簡単に言えば日本でいうところの個人情報保護法に相当する法律ですが、「世界で最も厳しい個人情報保護法」と呼ばれることもあるほど、その内容は厳格です。
なお、GDPRとは「General Data Protection Regulation」を略した呼び方で、日本語では「一般データ保護規則」と訳されています。EU法における「規則(Regulation)」は法的拘束力が最も強い法規範であり、EU加盟各国の国内法に優先して、各国内の個人や組織に直接適用されます。
GDPRの対象データ
「一般データ保護規則」という名称ではありますが、GDPRが対象とするのはEU域内に所在する個人の個人データです。個人データの内容については後述します。
GDPRの対象国
GDPRの条文における「EU域内」とは、EU加盟国27か国と、アイスランド、リヒテンシュタイン、ノルウェーを合わせたEEA(欧州経済領域)域内のことを指します。ただし、GDPRはEU域内の国々だけでなく、後述するように場合によってはEEA域外にしか拠点を持たない組織にも適用される点に注意が必要です。
GDPRの目的
GDPRは、EU域内の個人の個人データを保護することや、データ主体(データの対象である個人)の権利を保護することなどを目的として制定された法律です。EUにおいて、個人データの保護およびデータ主体の権利は非常に重要視されており、EU基本憲章やEU運営条約(※)など、EUの法体系の基礎をなすような法においても、個人データの保護が基本的な権利として位置付けられています。したがって、GDPRではこうした権利を確実に保護できるよう、厳格な法的要件を定めています。
(※)EU基本憲章とは、EU市民や域内に居住する人々の政治的、経済的、社会的権利を定める文書です。
GDPR制定の背景
ここで、GDPRの目的や意義についてもう少し掘り下げるために、制定の背景についても簡単に触れておきます。
2018年にGDPRの適用が開始されるまで、EUでの個人データ保護に関する規制は、1995年制定の「データ保護指令(Directive 95/46/EC)」に基づいて行われてきました。EU法における「指令」は、達成すべき結果(ここではデータ保護)について加盟国を拘束するものではありながらも、そのための形式や手段を指定するものではありません。そのため、各国は指令の規定内容を実施するためにそれぞれ独自に国内法を制定することになり、個人データの取扱いに関する具体的なルールは国によって差異が生じていました。
しかし、時代とともに社会経済活動におけるデータ収集・利用の規模が拡大していく中、域内全体で確かな保護水準を実現するため、そして自由なデータ流通を促進するために、GDPRのような、より拘束力が強く、かつより統一的な枠組みを定めることが目指されるようになりました。
GDPRの適用範囲
GDPRは、EU域内の企業や事業者、公的機関に加えて、以下のいずれかに該当する域外国の組織にも適用されます。
・子会社や海外支店など、EU域内に事業拠点を有している(域内の個人を雇用している場合なども該当します)
・EU域内の個人や企業向けに商品やサービスを提供している
・EU域内のユーザーの行動を監視している(Webサイトでのcookie収集なども該当します)
GDPRの地理的適用範囲(条文)
(第1章、第3条)
本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。取扱活動が以下と関連する場合、本規則は、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。又は
(b) データ主体の行動がEU 域内で行われるものである限り、その行動の監視。
(引用元:個人情報保護委員会「一般データ保護規則(GDPR)の条文」)
GDPRにおける「個人データ」とは?
個人データの定義
GDPRの条文内では、個人データは以下のように定義されています。
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
(引用元:個人情報保護委員会「一般データ保護規則(GDPR)の条文」)
個人データの例
GDPRでは、以下に挙げるような情報などが個人データとみなされます。
氏名、電話番号、住所、身分証明番号、メールアドレス、趣味、過去の購買に関する情報、保健情報、ネット上での行動(IPアドレスやクッキーといったオンライン識別子など)、身体的データ、生理的データ、遺伝的データ、精神的データ、経済的データ、文化的、社会的データなど。
日本の個人情報保護法との違い
ここで参考までに、GDPRにおける「個人データ」と日本の個人情報保護法における「個人情報」の違いを簡単にご紹介します。いずれも「個人に関する情報」であるという点は共通しているものの、それぞれの示す範囲は少々異なります。
まず、日本の個人情報保護法における「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。これに加え、個人識別符号(※)を含む情報も個人情報に該当します。
※個人識別符号とは、その情報単体から特定の個人を識別できる番号、記号、符号などの情報で、政令・規則で定められたものをいいます(下図では②、③に該当)
<図:日本の個人情報保護法における「個人情報」に該当するもの>
上記の図が示すように、GDPRでは単体で「個人データ」とみなされるメールアドレスや電話番号、クッキーなどは、個人情報保護法においては単体では「個人情報」に該当せず、その他の情報と照合することで個人を識別できる場合にのみ、「個人情報」となり得ます。この点は、GDPRと個人情報保護法の大きな違いだと言えます。
【参考】個人情報保護法における個人情報の定義(条文)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
(引用元:e-gov 「個人情報の保護に関する法律(平成十五年法律第五十七号)」)
個人データに該当しないもの
個人データであったとしても、「匿名化」という処理が施された情報に関してはGDPRの適用外となります。匿名化とは、情報を不可逆的に加工し、個人の特定が不可能な状態にする処理のことを言います。とはいえこの「不可逆的に加工」という点が少々わかりにくいため、情報の暗号化という処理を例に考えてみましょう。
個人データを暗号化すると、復号鍵(暗号を解くための鍵)を使用しない限り、その情報からは個人を特定することができなくなります。しかし、復号鍵がこの世に存在する限り、暗号化された情報の復号はなされ得ると考えられます。したがってGDPRにおいては単に暗号化処理をするだけでは匿名化とはみなされず、復号鍵を破棄することで不可逆的に個人の識別につながり得ない状態が作られて初めて、「匿名化」が成立することになります。このように、GDPRにおいて匿名化の要件を満たすのは容易ではないことに注意が必要です。
GDPRの主な内容
GDPRは、以下の11章によって構成されています。
第1章:一般規定 | 適用対象者や適用範囲、各用語の定義など。 |
第2章:基本原則 | 個人データの取扱いに関する基本原則、同意の要件など。 |
第3章:データ主体の権利 | データ主体への情報提供に関する事項、データ主体の持つ権利など。 |
第4章:管理者及び処理者 | 個人データの管理者・処理者に求められる義務など。 |
第5章:第三国又は国際機関への個人データの移転 | 域外移転に関する一般原則、十分性認定に基づく移転など。 |
第6章:独立監督機関 | 各加盟国に求められる監査機関設置の義務など。 |
第7章:協力と一貫性 | 主監督機関とその他関係監督機関との間の協力など。 |
第8章:救済、法的責任及び制裁 | データ主体が自身のデータの取扱いに関して監督機関に苦情の申し立てを行う権利や、違反に対して科される制裁金など。 |
第9章:特定の取扱いの状況と関係する条項 | 公文書の取扱い、国民識別番号の取扱い、教会及び宗教団体の既存のデータ保護規則など。 |
第10章:委任される行為及び実装行為 | 委任される行為の執行に関する事項、欧州委員会に関する事項など。 |
第11章:最終規定 | 既に締結された協定との関係、発効及び適用期日など。 |
章立てを見てもお分かりいただけるようにGDPRの内容は膨大であるため、ここでは以下の3つのポイントに絞って内容を簡単にご紹介します。
①データ主体の権利
②個人データの処理(取扱い)
③個人データの移転
データ主体の8つの権利
GDPRは、データ主体の有する以下8つの権利を規定しています。
・情報提供を受ける権利(第13条、14条):提出したデータの管理者(企業など)の身元や問合せ先、データ取扱いの目的・法的根拠などの情報の提供を受ける権利。
・アクセスの権利(第15条):自身が提供した個人データおよびそれに係る情報にアクセスする権利。
・訂正の権利(第16条):自身の個人データが不正確な状態だった場合、それを訂正する権利。
・消去の権利 / 忘れられる権利(第17条):収集目的のために必要でなくなった場合や自身が同意を撤回する場合に、当該個人データを消去させる権利。
・処理制限の権利(第18条):個人データの処理を制限させる権利。
・データポータビリティの権利(第20条):自ら提供した個人データを本人が再利用しやすい形式(機械で読み取り可能な形式)で受け取る権利。また当初の提供先とは別の事業者等に対して、直接個人データを移行させる権利。
・異議を述べる権利(第21条):データの取扱いに対して異議を申し立てる権利。
・プロファイリングを含む個人に対する自動化された意思決定に関する権利(22 条):プロファイリング(業務実績、経済状況、嗜好、関心事など分析・予測を目的とする個人データの自動処理)を含む自動化された処理に基づいた決定の対象とされない権利。
個人データの処理(取扱い)
GDPRにおけるデータの「処理」(「取扱い」と訳されることもあります)とは、個人データに対して行われる以下のような作業を指します。
処理に該当する作業 | 例 |
取得、記録、編集、構造化、保存、修正/変更、復旧、参照、利用、送信による開示、周知またはその他周知を可能にすること、整列/結合、制限、消去、破壊 | ・クレジットカード情報の保存 ・メールアドレスの収集 ・顧客の連絡先詳細の変更 ・顧客の氏名の開示 ・上司の従業員業務評価の閲覧 ・データ主体のクッキー情報の削除 ・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成 |
上記のような処理を行うことは、データ主体の同意を得るなどの条件を満たした場合に限り適法とされます。ただし、人種・民族、政治的思想、宗教・信条もしくは労働組合員に関する個人データ、遺伝データ、生体認証データ、健康データまたは性的指向データについては、「特別な種類の個人データ」にあたるとして処理が原則禁止されています(規定により、例外的に適法となる場合もあります)。
個人データの移転
GDPRでは、EU域外への個人データの移転を原則として禁止しています。ただし、十分な個人データ保護水準を保っていると欧州委員会が決定した第三国や国際機関(※)に対しては、個人データの移転が例外的に適法となります。
(※)このような欧州委員会による決定は、「十分性認定」と呼ばれています。十分性認定を得ていない国・地域へのデータ移転を行うためには、SCC(標準契約条項)の締結など、GDPRの第5章に規定される保護措置を講じる必要があります。
GDPRについて日本企業が知っておくべき4つのポイント
①域外適用:日本企業にGDPR対応が求められるケース
「GDPRの適用範囲」のところでもお伝えしたように、GDPRの地理的適用範囲はEU域内に限定されるわけではなく、EU域内に拠点のない管理者や取扱者が、EU域内に所在するデータ主体の個人データを取扱う際にも適用されます。したがって、以下の図に示すようなケースに該当する場合、日本企業であってもGDPRへの対応が必要です。
②個人データの範囲
GDPRにおける「個人データ」とは、EEA域内に所在する個人に関するデータのことを指します。ここでいう「所在」には短期的な滞在も含まれるため、EEA域内国の国民や移住者だけでなく、短期出張や旅行などでEEA域内を訪れた人のデータもGDPRの保護対象となります。また逆に言うと、例えば日本に旅行中のドイツ人のデータは、「EEA域内に所在する個人」のデータとはみなされないため、GDPRの保護対象外となるということです。
③日本・EU間の越境データ移転と「補完的ルール」
先述の通り、EU域内から域外への個人データの移転は原則として禁じられています。しかし日本は2019年1月23日に欧州委員会から十分性認定を得ているため、日本国内法と「補完的ルール」を遵守してさえいれば、EU域内から日本へのデータ移転は適法とみなされます。
補完的ルールとは、正式には「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」と呼ばれる日本国内向けのルールで、法的拘束力を有しています。補完的ルールには、EU域内から十分性認定により移転を受けた個人データを取り扱う場合に適用される規則などが定められています。
④Webサイトにおけるcookieの扱い
ECサイト経由で日本からEU域内へ商品を販売する場合や、EU域内から日本のブログサイトなどへ電子上のアクセスがある場合、これらのサイト上で取得されるcookieもGDPR上の個人データに該当する可能性があるため、GDPRのルールに従って対応する必要があります。
具体的には、以下のような措置が求められます。
・プライバシーポリシーを作成し、公表する
・cookieポリシーを新設し、ホームページやECサイトの初回来訪者にcookie使用の同意をとる
・取得した個人データの保護、制御、漏洩防止のためのセキュリティ対策を実施する
関連記事
情報セキュリティ
GDPR
プライバシー
中小企業
GDPRと海外の個人情報保護法:各法の違いと日本企業が注目すべき域外適用や越境移転に関するポイント
2022.03.24
GDPR
プライバシー
中小企業
GDPR違反時の制裁金
GDPRに違反すると、高額な制裁金を科される場合があります。金額は違反の程度によって異なりますが、上限額は以下2つのうちいずれかの類型にしたがって決定されます。
【比較的軽度の違反の場合】
1,000万ユーロ以下、または、企業の場合には前会計年度の全世界年間売上高の2%以下のいずれか高い方
【明確な権利侵害の場合】
2,000万ユーロ以下、または、企業の場合には前会計年度の全世界年間売上高の4%以下のいずれか高い方
なお、GDPR違反時の監督機関による執行としては遵守命令や警告、認証の撤回といった処分が科される場合もあり、違反したからといって必ず制裁金が科されるとは限りません。
最後に
GDPRは、EU域内だけでなく、域外の組織や事業者にも適用されることのある法律です。先ほど紹介した「GDPR対応が求められるケース」のいずれかに該当する日本企業は、違反による罰則を避けるためにも、条文の内容をよく理解して個人データの保護にあたる必要があります。一方で、日本の個人情報保護法には3年ごとの見直し規定があり、今後GDPRに近い内容へと改正されていくという予想もあります。これを踏まえると、現段階でGDPRに対応する必要のない日本企業であっても、今後自社サービスで海外への展開を想定している、あるいはEU圏内の個人情報を取得する可能性がある場合は、ある程度GDPRの内容を理解しておいても損ではないと言えます。本記事でご紹介したのはあくまで簡単な概要部分のみですが、さらに理解を深めたいという場合は、個人情報保護委員会が提供している各種資料をご参照いただくのがお勧めです。
株式会社マキナレコードのGDPR準拠支援サービス
弊社マキナレコードでも、GDPRへの準拠に向けた体制づくりのためのコンサルティングサービスを提供しています。GDPRや個人情報保護法に準拠するためのポイントが知りたい、またGDPRの基準に準拠したセキュリティポリシーや規程を策定したい、といったご要望がある方は、弊社ホームページよりお気軽にお問い合わせください。
また、以下のリンクよりセキュリティ体制構築支援に関する資料の無料配布も行っておりますのでこちらも併せてご覧ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。