GDPRって何ですか?
最近、「GDPR」という言葉が法務関係者で話題に上っていますが、このGDPRというのはどのような物で、日本にいる皆さんはどのような事を気にしなければならないのでしょうか。今回は、このGDPRについて調べてみたいと思います。
GDPRとは
GDPRとは、「一般データ保護規則(General Data Protection Regulation)」の英語表記の略であり、EUレベルでの個人情報保護ルールと理解していただければ間違いないと思います。
従前も、EU内に個人情報保護法制はありましたが、GDPRによって、EU内のルールが統一されたことと、個人の権利保護を強化したこと、制裁を強化した事などが、GDPR導入の特徴とされています。
即ち、GDPRではEU(正確にはEU加盟国にアイスランド、リヒテンシュタイン及びノルウェーを加えた欧州経済領域(EEA)が対象となりますが、本記事では便宜上EUと称します)内の個人データの処理及びEU域内から域外への移転について規制しています。
2018年5月25日から適用が開始されることになっていますので、関係する企業にとっては、その対応が喫緊の過大となっております。
GDPR違反の制裁
GDPRというヨーロッパのルールが日本でこれほど話題になる理由としては、その制裁が重いことが挙げられます。もちろん、あらゆる違反に対して巨額の制裁金が課せられる訳ではなく、事前の調査や、命令や警告などの中間的な処分があるわけですが、最悪の場合として制裁金のリスクがあることは知っておいたほうが良いと思います。
具体的には、義務違反の類型に応じて①1000万ユーロもしくは全世界年間売上高の2%の高いほう、又は②2000万ユーロもしくは全世界年間売上高の4%の高いほうという制裁金が定められています。
これは企業規模に関係なく定められていますので、万が一、中小規模の会社であれば会社が傾くことも考えられる訳で、自社にもGDPRが関係あるかもと考えている法務関係者の間で話題になるのも無理はないと思います。
この制裁金の方式は、数年前から話題になっている競争法違反(カルテル)の場合における制裁金をモデルにしており、カルテルの事案では数十億、数百億単位の制裁金を日系企業が課せられており、リスクの大きさとしてはかなり大きなものといえます。
日系企業にGDPRが適用される場合とは?
まず、GDPRはEU内の個人情報保護ルールですが、日系企業であってもEU内に拠点を有していれば、その拠点に関連して扱う個人情報についてGDPRが適用されることになります。
この拠点は、現地法人だけでなく、支店や営業所レベルでも該当すると考えられています。
誤解しやすいのは、自社の社員に関する情報であっても、保護すべき個人情報に該当することです。例えば、日本に拠点を置く会社が、EU内の現地法人の社員の人事データなどを取得しようとし、EU内の現地法人から、メール添付の方法や日本のサーバーへのアップロードなどさせた場合には、GDPRが適用されることになるのです。
EUに拠点がない場合にはGDPRの適用がないのか?
では、EU内に拠点がなければGDPRなど関係ないかというとそうでもありません。
なぜならEU内に拠点がない場合であっても、①EU内の個人に対して商品やサービスを提供する場合、及び、②EU内の個人の行動への監視に関連する処理にもGDPRが適用されることとなっているからです。
そして、EU内の個人について国籍は問わないこととされておりますので、EU内にいる日本人を対象にネットショップを通じて商品を販売する場合には、この取引に関連して取得する個人情報にGDPRが適用されるということになるのです。
GDPR対応として何をすべきか?
以上のとおり、EUのルールでありながら、場合によっては適用される場合があり、また、違反の際の制裁は結構重いというのがGDPRです。
大企業の多くは既に専門家に相談しながら対策を進めていると思いますが、中小事業者の対応はまだまだなのではないかと思います。まずは、本記事を参考に、自社のビジネスでGDPRの適用があり得るのかをチェックしてはいかがでしょうか。特にネットを通じたサービスを提供するビジネスにおいては、国境をまたいでアクセスする顧客がいることは十分に考えられます。この場合の対策として、EU経由のビジネスの大きさにもよるのですが、リスクと比較してEU向けの売上が僅かなのであれば、ネットショップでEU内内の個人向けの取引をしないという判断もあるのではないかと思います。