1.EUの新個人情報保護法制は日本への影響必至で最大限の警戒を

 EUでは、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行された。

 どこに拠点があるかに関わらず、EU内で活動している全ての企業にとって、同一のルールとされる。他律規範性が非常に強く、グローバル化でGAFAが個人情報の我儘で自分勝手な利用をしてきたことへの対抗でもあろう。

  GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定しているので要注意である。
 特に、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持っている。

 ここで言う「 EU」とは、拡大概念であって、EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインも含むことにも注意が必要である。

 細かくなるが、2023年1月1日現在の「EU」は下記の通りである。

・2004年までのEU加盟国(15か国)

  フランス,ドイツ,イタリア,オランダ,ベルギー,ルクセンブルク(以上1958年からの原加盟国),英国,アイルランド,デンマーク(以上1973年加盟),ギリシャ(1981年加盟),スペイン,ポルトガル(以上1986年加盟),オーストリア,スウェーデン,フィンランド(以上1995年加盟)

・2004年5月1日加盟国(10か国)

 エストニア,ポーランド,チェコ,スロベニア,ハンガリー, キプロス,ラトビア,リトアニア,スロバキア,マルタ

・2007年1月1日加盟国(2か国)ブルガリア,ルーマニア 

・2013年7月1日加盟国(1か国)クロアチア

・イギリスは、2020年1月にEUを離脱した。

2.EU域外適用に関する影響

  GDPRはEU域外の事業者へも一定の要件に該当する場合には適用される。後述の要件に該当する組織・企業等は業務への影響が必至であり、十分に準備していると思うが、そうでない企業などは当職のようなGDPRや個人情報保護法のcomplianceに詳しい者に依頼して早急に対策を立てる必要があろう。

3. 越境データ移転の厳しい要件

 GDPRは、EU域内の個人データのEU域外への移転について規定している。

この場合に、 EU域内から域外へ個人データを移転するには、
・ 十分な個人データ保護の保障
(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
・ BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
・SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で締結し、欧州委員会が承認)
・明確な本人同意
等、一定の要件を満たす必要がある。

 なお、欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域は2017年9月現在、以下のとおりである。
アルゼンチン共和国 アンドラ公国 イスラエル ウルグアイ東方共和国 英領ガーンジー 英領ジャージー 英領マン島 カナダ スイス連邦 デンマーク自治領フェロー諸島 ニュージーランド アメリカ合衆国(※プライバシーシールドに基づく)

4.日本は、個人情報保障が十分とEUに認められていないので対策中、相互認証の枠組みの発効
2019年1月23日

 「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を定めてEUと交渉中であったが。認定された。

詳しくは、⇒ https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/

5.特に注意すべきGDPRの内容

(1)「GDPRでいう個人情報とは何か」

 名前、住所、位置情報、オンラインの識別子、健康情報、所得、文化的側面等々

(2)本人に「忘れられる権利」を与えること

 ・本人に「忘れられる権利」を与え、データの消去を要求された場合は、表現の自由や研究素材としての能力を損なわない限り、本人の個人情報を消去する。

(3)センシティブ・データの保護

 健康、人種、性的指向、信仰、政治的信条に関する情報については特別の保護手段を用いること。LGBTへの対応方法は決定しておく。

(4)個人情報に関する記録を残す

 ・事業者の名称と連絡先
 ・個人情報を取り扱う理由
 ・個人情報とその本人の類型についての説明
 ・個人情報の提供先となる組織の類型
 ・他の国又は組織への提供に関する事項
 ・個人情報の削除期限(可能であれば)
 ・個人情報の取扱いにあたり用いる安全管理措置の説明(可能であれば)

(5)GDPR違反の代価

 各国のデータ保護機関が、EUの同一水準に基づき、ルールを守っているかチェックしている。 ルール違反があった場合には、 警告、懲戒、個人情報取扱いの一時中止、制裁金(2000万ユーロ又は全世界年間売上の4%を上限とする)がある。

6.その他の詳しいことは下記の中川総合法務オフィス無料ビデオ参照