GDPR 第1回 概要と基本原則
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
前回の記事(改正電気通信事業法について)で、GDPR(一般データ保護規則:General Data Protection Regulation)が影響を及ぼしている国や地域を紹介しました。今回から、GDPRについて数回に分けてお話ししようと思います。また、今後、海外のプライバシー法・個人データ(情報)保護法をお話しする上で、GDPRは基礎知識として重要になってくると考えています。
今回は、概要と重要な基本原則を説明したいと思います。
アジェンダ
- 根差すところはEU基本権憲章
- 対象となるデータ
- 保護される対象者
- Directive(指令)からRegulation(規則)へ格上げ
- 基本原則
- 罰則(厳罰化)
1. 根差すところはEU基本権憲章
EU基本権憲章
GDPRは、前文冒頭(1)に書かれているとおり、EU基本権憲章(Charter of Fundamental Rights of the European Union)が根差すところになっています。この憲章の第8条には個人データの保護も謳われており、まさしく下地となっていると考えています。また、GDPR前文にはホロコーストのデータ保管に関しても言及されており、人権を意識した法令と言えるかと思います。個人データに関する負の歴史としては、1939年のドイツの国勢調査が挙げられます。この調査で収集した情報をもとに、非人道的な「ホロコースト」が行われました。この歴史の教訓は決して忘れてはならないでしょう。
GDPR施行までの流れ
関連事項を時系列で整理するとこのようになります。
- 2000年:EU基本権憲章制定
- 2013年:スノーデン事件
- 2015年:セーフハーバー協定無効判決
- 2016年:プライバシー・シールド締結
- 2018年:GDPR施行
- 2020年:プライバシー・シールド無効判決
スノーデン事件
2013年、元アメリカ国家安全保障局 (NSA)および元中央情報局(CIA)職員エドワード・スノーデン氏が、当時のメルケル独首相の電話をアメリカ政府が盗聴したことを暴露した事件です。これを受け、ドイツがアメリカに猛抗議したことがニュースに流れました。
セーフハーバー協定無効判決
2015年、欧州司法裁判所はEUからアメリカへの個人データ移転を認証された企業のみ特例として認める「セーフハーバー協定」(Safe Harbor Agreement)を無効とする判決を下しました。同判決では2013年のスノーデン事件にも言及され、EUからアメリカに個人データが移転された場合の保護が不十分との見解が示されました。
プライバシーシールドの締結と無効判決
2016年には再び、EUからアメリカへの越境のフレームワークとして「プライバシー・シールド」(Privacy Shield)が締結されるのですが、再度2020年に無効とする判決を下されました。
このような経緯の中でGDPRが制定されたわけですが、施行されてから約5年経つ現在もなお、EUからアメリカへの個人情報越境移転に暗い影を落としていると言えます。少し先走って話してしまいましたが、越境に関するお話はまだ続きがあるので、後日改めて行いたいと思います。
2. 対象となるデータ
オンライン識別子
GDPR第4条の個人データの定義には、「オンライン識別子」というワードが入っています。この「オンライン識別子」自体が個人情報となっていない場合も、複数の要素を参照することによって、直接的または間接的に識別されうるという考え方に基づく定義の要素の1つになるかと思います。今回はトピックである「オンライン識別子」から先にお話ししましたが、次回はGDPRにおける「個人データ」に関する定義について説明させていただく予定です。
CookieとIPアドレス
GDPR施行前に、情報が断片的に入ってきていた中で、この「オンライン識別子」が頭の中を駆け巡った事を鮮明に思い出します。Cookieならまだしも(制御できる、はず)、IPアドレスはどうなるのか?と。IPアドレスは、WEBサーバーのログをはじめ、様々なネットワーク機器にログがとして保存されるからです。2017年当時、GDPRの様々なセミナーに出向いては、プロの弁護士・コンサルタントに尋ねまくりました。その際に、解答として、「個人情報に該当する」「個人情報に該当しない」「条件付きで該当する・しない」等々様々だったように記憶しています(これはコンサルタントの方の問題ではなく、私からの質問内容も回答に影響を及ぼしたのではないかと思われます)。
取り扱いの適法性
GDPR前文49よりIPアドレスは「安全対策上の正当な利益」と読み解けるあたりに、CookieとIPアドレスの扱いに関して、適法化に関する差異(Cookieは同意が必要)が生まれたと考えています。正直なところ、これが正しいのかどうなのか、キッパリと言い切れませんが、GDPR施行から今日に至るまで、Cookieの扱いでは制裁されても、IPアドレスの扱いによる制裁がないことからも、おそらく解釈として近いのだろうと想像しています。また、個人で使用する際のIPアドレスが一般的には固定ではなく、動的であることも関係していると考えられるかとも思います。この「取り扱いの適法性」に関しても、今後の記事でお話しさせていただく予定です。
3. 保護される対象者
保護される対象者はEEA(欧州経済領域:European Economic Area )に「いる(所在する)」人が対象となります。EEAの具体的な国は、EU加盟国+アイスランド+ノルウェー+リヒテンシュタインになります。なお、イギリスは2020年1月31日にEU離脱、欧州でもスイスなどEUに加盟していない国が複数あるので注意が必要です。また、「いる(所在する)」人という表現は、EEAの国籍を持たなくても、GDPRにより保護される対象者になるということです。例えば、日本からEEAに出張した日本人も保護の対象となります。
4. Directive(指令)からRegulation(規則)へ格上げ
インターネットの普及時期
旧法令(EUデータ保護指令(Data Protection Directive))の施行は、1995年。当時、既にインターネットを使い始められていた方は、ご記憶があるかもしれませんが、まだまだインターネットの黎明期(モデムを使用してダイヤルアップで接続していましたね)。現在のような検索エンジン(Googleの設立は1998年)や、SNSもまだ存在していなかった時代ですから、20年以上もの月日を経過した法令の見直しは必須であったと考えられます。また、各国での保護レベルの相違が障害となっていたようです(これに関してはGDPR前文9に説明されています)。
第三国への個人データ移転
GAFAを含む大国アメリカへの個人情報やプライバシーの流出に対抗するためには、EU全域の法令で対抗するよりなかったと考えることもできるかと思います(実際のところはそこまでの背景かは分かりません)。実際にEUデータ保護指令では第三国移転に関する条項は、第25条、第26条のみでしたが、GDPRでは第44条から第50条までの7つの条項となり、厳しいルールが策定されています。その他、GDPRを補完する「e Privacy Directive」についても、近い将来(具体的な日程は不明)Regulationへの格上げが見込まれているため、情報が入り次第、本ブログ記事にしたいと考えております。
5. 基本原則
1ー1ー(a)適法性、公正性、透明性の原則
適法性・公正性は企業として当然守るべきもの。ただ、過去数年来の日本のニュースを見ていると、「透明性」が欠如しているように思えてならないのは私だけでしょうか?日本の感覚で最も注意しなければならない要素がこの「透明性」だと感じています。また、「透明性」は後述する「アカウンタビリティ」に通じるものではないでしょうか?
1ー1ー(b)目的限定の原則
明確且つ適法な目的のために収集、当たり前ですね。日本の改正個人情報保護法でも、目的以外の利用する場合は同意をもらう必要がありましたね。
1ー1ー(c)データ最小化の原則
必要外のデータを取得すると、一発で罰せられますのでご注意ください。一例ですが、多くの場合、オンラインショップでは「性別」は取引に必須ではないと考えられます。一方で、企業がマーケティングするためには必要な場合も多く、うっかり取得してしまう可能性があるかもしれません。
1ー1ー(d)正確性の原則
実務としてはとても厳しい原則です。正確性のためには「あらゆる合理的な手段が講じられなければならない」と書かれていますから。そして、万一の際には、説明責任が求められます。
1ー1ー(e)保存制限の原則
合理的な保存期間を超えて長期間保存することはできませんのでご注意ください。合理的でない長期保持は、もはやリスクでしかないと考えられます。
1ー1ー(f)完全性・機密性の原則
データが消失してもインシデントです。セキュリティ対策もしっかり行う必要があるのは、日本でもEUでも同じです。ランサムウェアなどでデータが暗号化された場合も制裁の対象になります。
2. アカウンタビリティの原則
この原則は、1-1-(a)から(f)までの原則の遵守+説明責任という理解です。OECD プライバシー8原則の中の「8. Accountability Principle」に対応する、日本の個人情報保護法の該当する条文を対比すると、第35条の苦情処理。。。ちょっと違うような感覚がするのですが、この違い、どうなのでしょうか?もしご存知の方がいらしたら、是非ご教示ください。ちなみに「accountability」という単語はEUデータ保護指令(1995年)では使用されておりませんでした。
6. 罰則(厳罰化)
日本国内で、GDPRの情報が流れた際に、一番インパクトがあったのは高額な制裁金ではなかったでしょうか?最高額2,000万ユーロもしくは、全世界の年間売上高の4%のいずれか高額である金額、という一般人から見たら、実に天文学的な制裁金です。実際にはGDPRより先行しているEU競争法(Treaty on the Functioning of European Union:2004年施行)の方が巨額(売上高の10%)で日本円で数千億円(41億2500万ユーロなど)の制裁金が複数ありました。また、情報漏洩時などに課される当局への報告義務は72時間以内となっており、この違反自体で最高額1,000万ユーロもしくは、全世界の年間売上高の2%のいずれか高額である金額となりますのでご注意あれ。
サマリー
わかりやすく覚えていただくために短く整理しました。
- 根差すところはEU基本権憲章、人権の視点で考えることがとても重要。営利目的の企業目線で判断すると、制裁という大火傷を負うことにもつながりますし、ブランディングにも悪影響が出かねないと、考えた方が良いでしょう。
- 対象となるデータは日本の個人情報保護法のように、個人を特定するものだけではありません。Cookieなどのオンライン識別子も規制対象であること。
- 保護される対象者は、EU加盟国+アイスランド・ノルウェー・リヒテンシュタインに「いる」人。国籍や、居住によるのではなく、EEAに滞在・在住している人であれば、旅行者・出張者など一時滞在の方も保護される法律です。
- Directive(指令)からRegulation(規則)へ格上げされた法律であること。後日、越境に関するブログも書く予定ですが、特にEEAから対米への越境には要注意です。
- 基本原則(第二章、特に第5条)に基本的なことが書かれているので、是非何度も読んでいただけると幸いです。私自身、判断に迷ったら、基本原則を見ることにしています。
- 罰則(厳罰化) 違反するととにかく高額な制裁金が発生することを覚えておきましょう。また、実際には、制裁金のみならずヨーロッパの場合、当局の査察が入っただけで、ブランディング的に著しく評判が低下するので、とにかく違反しないように頑張るしかありません。
※本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。
また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。