メインメニューをとばして、このページの本文エリアへ

EUデータ保護規則強化で日本企業が受ける影響と対策

石川 智也

 域内の個人データについて日本とのやりとりを原則禁じている欧州連合(EU)で、さらに、ルールを整理・強化したEUデータ保護規則が早ければ2018年春にも発効する見通しとなった。域外適用を拡大し、違反には最大で売上高の4%の課徴金をかけるなど日本企業やEU域外にある子会社・関連会社にとっても影響は大きい。石川智也弁護士が昨年12月に欧州連合理事会と欧州議会が合意した規則案をもとに詳細に解説する。

  

発効が迫るEUデータ保護規則と日本企業にとっての留意点

西村あさひ法律事務所
弁護士 石川 智也

石川 智也(いしかわ・のりや)
 2005年東京大学法学部卒業、2006年弁護士登録(司法修習59期)、2015年バージニア大学ロースクール卒業(LL.M.)、2015年10月よりマックスプランク研究所附設のミュンヘン知的財産法センター(LL.M. IP)に留学中。西村あさひ法律事務所所属。M&A案件、株式買取請求などM&Aに関する紛争案件、インターネットビジネスに対する法的アドバイスを含め、企業法務全般にわたる各社へのアドバイスに従事。
 EUデータ保護規則の採択・施行が現実味を帯びてきた。
 2012年1月に提案されてから約4年の時を経て、昨年(2015年)12月15日、欧州連合理事会と欧州議会がEUデータ保護規則の条項案に合意したことが公表された。この規則案は,今後法的な文言のレビューを経た上で、本年(2016年)の春に欧州連合理事会と欧州議会に提出される予定であり、採択されれば,その2年後の2018年春に発効する見通しである。この規則はGeneral Data Protection Regulationと呼ばれているので、GDPRと略されることがある。以下では、上記条項案に基づいて、EUデータ保護規則の内容について概観することとしたい。

 現在、個人情報保護に関するEUレベルの法令としては、「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(以下「現行指令」という)が存在する。もっとも、一般に、EU指令(Directive)はEU加盟国において直接国内法規としての効力を有するわけではなく、各国に当該指令に基づく国内法規の制定を義務付けるものにすぎない。そのため、現行指令の内容は、各EU加盟国がその内容を具体化して制定した各々の国内法を通じて、いわば間接的にEU域内に「適用」されている(正確には、適用されているのは、それら各EU加盟国の国内法である)に過ぎない。これに対し、EUデータ保護規則は、「規則(Regulation)」として、各EU加盟国において直接国内法規としての効力を有することになる点が異なる。
 EUデータ保護規則は、日本企業や、EU域外にあるその子会社・関連会社にとっても全く無縁の存在ではない。第一に、EUデータ保護規則はEU域外の企業にも適用される可能性があり(いわゆる域外適用の問題)、特に現行指令と比較してその適用範囲が大幅に拡大する予定であるため、注意が必要である。第二に、EU域内から日本を含む第三国に個人データを移転するには厳しい条件が課されており(いわゆる情報の域外移転の問題)、日本を含め大半の国では移転に際して所定の手続が必要である。第三に、EUデータ保護規則では、それに違反した場合のエンフォースメントが大幅に強化されているため、EUデータ保護規則の適用範囲が拡大することに伴って、グローバルに事業を展開する日本企業グループも注意が必要である。本稿では、これら三点に焦点を絞って説明を加えることとしたい。

1 域外適用

 現行指令の下では、個人データの取扱いを目的としてEU加盟国に設置された設備(equipment)(但し、設備という日本語からイメージされる大掛かりなものではなく、手段又は装置という程度のものである)を利用する場合に、現行指令に基づく各EU加盟国の国内法が適用される(現行指令4条1項)。この点、Cookieを用いて個人の端末を作動させる場合などについて議論はあるが、基本的には、日本企業が日本でWebサイトを設置・管理している場合には、EUにいる者がそれにアクセスし、商品やサービスを注文できるとしても、それだけで日本企業に現行指令に基づくEU加盟国法が適用されることはないといわれている。
 これに対して、EUデータ保護規則の下では、EU加盟国において設備を利用しているか否かにかかわらず、①EUにいる者に商品やサービスを提供している場合、又は、②EUにいる者の行動をモニターしている場合には、EUにいる者のデータを取り扱う管理者に対してEUデータ保護規則が適用される(EUデータ保護規則3条2項)。そのため、日本企業が日本においてWebサイトを設置・管理している場合であっても、EUにいる者がそれにアクセスし、商品やサービスを注文できる場合にはEUデータ保護規則が適用される可能性が生じる。この点については、EU以外にいる者に対してサービスを提供するつもりでも、積極的にEU加盟国からのアクセスをブロッキングしない限りは、結果としてEUにいる者にサービスを提供することになってしまう可能性が否定できない。そこで、どのような場合に「EUにいる者に商品やサービスを提供している」といえるのかが問題となる。
 この論点については、EUデータ保護規則の適用範囲について述べたEUデータ保護規則前文(20)号が参考になる。その概要をまとめると、以下のとおりである。

 ① EUにいる者に商品やサービスを提供する意図が明白である場合には、「EUにいる者に商品やサービスを提供している」と判断され、EUデータ保護規則が適用される。
 ② EUにいる者に商品やサービスを提供する意図が明白か否かは、次のような事情を考慮して判断される。
  (a) EU加盟国からWebサイトにアクセスできるというだけでEUにいる者に商品やサービスを提供する意図が明白になるわけではない。
  (b) Webサイトに管理者のメールアドレスや連絡先を記載し、アクセスできるようにしているというだけでもEUにいる者に商品やサービスを提供する意図が明白になるわけではない。
  (c) 管理者が所在する第三国で一般に使われている言語を使用していることだけでもEUにいる者に商品やサービスを提供する意図が明白になるわけではない。
  (d) 1つ以上のEU加盟国で一般に使われている言語又は通貨で商品やサービスを注文できるか、EU域内にいる又は利用者について言及しているかといった要素が、そのような意図を明白なものとし得る。

 これらを前提に、具体的な場面を想定して検討したい。
 まず、日本企業が日本で管理するWebサイトがEU加盟国からアクセスできるものであったとしても、そのサイトが日本語を使用し、かつ、日本円で商品やサービスを注文するものであり、EU域内にいる消費者について言及していなければ、EUにいる者に商品やサービスを提供する意図が明白と判断されるおそれは低いと考えられる。他方で、日本企業が日本で管理するWebサイトであっても、英語、フランス語、ドイツ語、スペイン語、イタリア語、スウェーデン語というように複数のEU圏内の言語を切り替えることができ、かつ、ユーロやポンドで商品やサービスを注文するものである場合には、EUにいる者に商品やサービスを提供する意図が明白と判断されるおそれは高いと考えられる。
 しかし、これらの中間事例になると判断が難しくなってくる。たとえば、日本企業が日本で管理するWebサイトにおいて、表記を日本語だけではなく英語やスペイン語に切り替えられる事例を想定したい。英語やスペイン語についてはEU域外(英語についてはアメリカやオーストラリアなど。スペイン語については中南米)でも一般に使われているが、日本企業が日本で管理するWebサイトにおいて英語やスペイン語を用いる場合には「管理者が所在する第三国で一般に使われている言語」ではないため、前記(c)に該当しないと考えられる(英語圏やスペイン語圏の管理者がそれぞれの言語を用いる場合には、前記(c)に該当すると考えられる)。むしろ、この場合には、前記(d)の「1つ以上のEU加盟国で一般に使われている言語で商品やサービスを注文できる」という要素を満たしてしまう。この事例の場合、商品・サービスの性質、注文の実態なども踏まえて検討することが必要になると考えられる。たとえば、商品の内容からしてEUへの商品の発送が想定されておらず、実際にEUに商品を発送していなければ、EUにいる者に商品を提供する意図が明白であるとまではいえないと整理できる場合もあると思われる。他方で、サービスの内容からしてEU域内でもサービス提供を受けることができる場合には、「EU域内にいる消費者向けのサービスではない」と言及したとしても、それだけでEUにいる者に商品を提供する意図が明白と判断されるリスクを軽減できるかどうかは微妙かも知れない。

2 EUからEU域外への個人データの移転(域外移転)

 (1) 現行指令の下における規律

 まず、現行指令の下では、個人データの保護措置の十分性が確保されていると認定された国等に対して移転する場合を除き、原則としてEU域内からEU域外への個人データの移転は禁止されている(現行指令25条)。なお、日本はこの十分性の認定を受けていない。
 例外的に、①データ主体たる個人が、予定されている移転に対して明確な同意を与えている場合などの一定の場合(同26条1項)、②グループ企業内で情報を移転するための拘束的企業準則(Binding Corporate Rules、同条2項)の承認を受けている場合、③標準契約(Standard Contractual Clause、同条4項)を締結している場合には、EU域内からEU域外への個人データの移転が認められる。以上を踏まえ、現状、日本企業がEU域内から個人データを日本に移転する場合には、移転する情報の性質・目的に応じて、同意の取得又は標準契約の締結の例外規定を用いている例が多いようである。たとえば、従業員の情報をEU域内からEU域外に移転する場合には同意の取得により対処し、消費者の情報をEU域内からEU域外に移転する場合には同意の取得が容易でないため、標準契約によって対処しているといわれている。標準契約は、テンプレートが公開されており、基本的にはそのテンプレートどおりに締結することになるが、標準契約を交わした企業間のみでしか有効でなく、かつ、国別に監督機関への届出等を要するため、その負担は軽くない。また、本稿脱稿時点で拘束的企業準則の承認を受けている日本企業は存在しないようである。
 なお、米国企業は、従来は、欧州・アメリカ間の協定に基づいてセーフハーバー原則を順守していればEU域内からアメリカに個人データを移転することが可能であったが、この協定は昨年(2015年)10月6日に欧州司法裁判所によって無効と判断され、米国のIT企業の間に大きな衝撃が走っている。

 (2) EUデータ保護規則の下における規律

 EUデータ保護規則の下でも、この「原則禁止、例外的に一定の要件のもとで許される」という大きな枠組みは同様である。すなわち、EUデータ保護規則の下でも、個人データの保護措置の十分性が確保されていると認定された国等に対して移転する場合(EUデータ保護規則41条)を除いて、原則としてEU域内からEU域外への個人データの移転が禁止されている(同40条)。
 ただし、適切な安全管理措置が講じられた場合には、例外的に、EU域内からEU域外への個人データの移転が認められている(同42条1項)。この「適切な安全管理措置」として日本企業が利用可能な措置については、現行指令の下でも利用可能な、①拘束的企業準則(同43条)の承認を受けている場合(同42条2項(a)号)及び②標準契約を締結している場合(同項(b)(c)号)に加えて、③適切なセーフガードを講じる義務と承認された認証制度(同39条)に基づく場合(同42条2項(e)号)が追加されている。ただし、最後の認証制度については、いかなる機関が認証機関になるのかなどが明らかでなく、今後の動向を注視する必要がある。なお、標準契約については、現行指令の下では国別に届出等が必要であったが、EUデータ保護規則の下では1箇所のみに届出等を行えば足りるようになる見通しであり、この点では実務上の負担は軽減されるといえる。
 また、上記の「適切な安全管理措置が講じられた場合」に該当しない場合であっても、 データ主体たる個人が予定されている移転に対して明確な同意を与えている場合(EUデータ保護規則44条1項(a)号)にはEUからEU域外への個人データの移転が認められている(同条1項)。この点は現行指令と同様である。

 (3) 今後注視すべきポイント

 まず、前記の認証制度がいかなるものとなるのかによって、EU域内からEU域外への個人データの移転のフレキシビリティが変わり得るため、この点について動向を注視する必要があるだろう。
 また、昨年(2015年)成立したわが国の個人情報保護法改正の目的の一つとして、EUからEU域外に個人データを移転するために必要な個人データの保護措置の「十分性」の認定の取得が挙げられてきた。現在、この問題については日本とEUとの間で交渉が行われている模様であるが、この「十分性」の認定を受けることができた場合には、上述した拘束的企業準則、標準契約条項ないし同意の取得といった例外スキームによることなく、EU域内から日本(EU域外全般ではないことに注意が必要である)に個人データを移転することができるようになる。この点についても動向を注視する必要があるだろう。

3 エンフォースメント

 また、実務上、日本企業への影響が大きいと考えられるのは、課徴金(Administrative Fine)の定め(EUデータ保護規則79条)である。
 具体的には、監督機関は、EUデータ保護規則に違反した者に対し、違反の性質、重大性及び期間など、同規則79条2a項各号所定の事情を考慮の上で、課徴金の要否・金額を判断して課徴金を課すことができるようになった。課徴金の上限はEUデータ保護規則の違反類型に応じて定められており、Basic Principles(EUデータ保護規則5条、6条、7条、9条)に違反した場合、個人の権利(EUデータ保護規則12条〜20条)を侵害した場合、前記の域外移転ルール(EUデータ保護規則40条〜44条)に違反した場合などは、2,000万ユーロ(1ユーロ130円で計算すると26億円)か世界での年間売上高(total worldwide annual turnover)の4%の何れか高い方が上限とされている(EUデータ保護規則79条3a項)。なお、これまで「2%」とする欧州議会案と「5%」とする欧州連合理事会案が公表されていたが、最終案ではこの数値は「4%」とされている。
 このルールに基づいて課徴金額の上限を計算すると、世界での年間売上高が1,000億円の会社であれば40億円、1兆円の会社であれば400億円である。業界にもよるかもしれないが、日本企業の平均的な利益率からすると驚異的な数字といえよう。グローバルに事業を展開する日本企業としては、EUデータ保護規則違反のリスクを、刑事罰や高額の課徴金が課される欧米の競争法や贈収賄禁止法違反のリスクと同レベルのものと認識し、早急に対応措置を講じる必要がある。
 なお、前記のBasic Principleと個人の権利(実際には、データ処理者の義務の形式で規定されているものもある)は以下に列挙するとおりである。EU域内に事業拠点がある場合や、EU域内に事業拠点はないものの、域外規定の適用によりEUデータ保護規則が適用される可能性がある場合には、これらの内容を十分に検討して対応する必要がある。中には、いわゆる「忘れられる権利」や「データのポータビリティに関する権利」(SNSなどの利用に際して自己の個人データの移し替えを求める権利である)のように、日本では従来余り馴染みのない権利もある。上記の検討に際しては、EUデータ保護規則は、EU基本権憲章8条に定める「個人情報の保護を受ける権利」をデジタル時代でも保護するために、個人に自己の情報のコントール権及びコントロールするための機会を与えるものであるという点を理解しておくと、これらの原則・権利の意義を理解しやすいであろう。

 Basic Principle
 5条:個人データ取扱いに関する原則(Principles relating to personal data processing)
 6条:取扱いの適法性(Lawfulness of processing)
 7条:同意の条件(Conditions for consent)
 9条:特別カテゴリーの個人データの取扱い(Processing of special categories of personal data)

 12条から20条までに規定された個人の権利
 12条:データ対象者が権利を行使するための平易な情報、コミュニケーション及び様式(Transparent Information, communication and modalities for exercising the rights of the data subject)
 13条:受取人に関する権利(Rights in relation to recipients)
 14条:データ対象者からデータが収集された場合に提供される情報(Information to be provided where the data are collected from the data subject)
 14a条:データ対象者からデータが取得されなかった場合に提供される情報(Information to be provided where the data have not been obtained from the data subject)
 15条:データ対象者のアクセス権(Right of access for the data subject)
 16条:訂正する権利(Right to rectification)
 17条:消去する権利(忘れられる権利)(Right to erasure(Right to be forgotten))
 17a条:取扱いを制限する権利(Right to restriction of processing)
 17b条:訂正、消去又は制限を通知する義務(Notification obligation regarding rectification, erasure or restriction)
 18条:データのポータビリティに関する権利(Right to data portability)
 19条:異議を唱える権利(Right to object)
 20条:プロファイリングを含む自動化された個人の意思決定(Automated individual decision making, including profiling)

 4 おわりに

 EUデータ保護規則が適用されるまで2年強の猶予しかないが、日本企業が最初に行うべきは、自社又はその子会社・関連会社がEUデータ保護規則の適用を受けるか否かの確認である。そして、EUデー

・・・ログインして読む
(残り:約219文字/本文:約8131文字)