説明する杉本弁護士

経団連は７月２６日、東京・大手町の経団連会館で情報通信委員会企画部会（武山芳夫部会長）を開催し、ウィルマーヘイル法律事務所シニアアソシエイト・弁護士の杉本武重氏（ブリュッセル在住）から「ＥＵ一般データ保護規則」が企業に与える影響について聞いた。説明の概要は次のとおり。

■ 目的はＥＵ市民の基本的人権の保護

日本の憲法にあたるＥＵ基本権憲章には「全ての者が自己に関する個人データの保護に対する権利を有する」と規定されている。現在はＥＵデータ保護指令に基づき各加盟国がデータ保護法をつくり、国や州単位で当局であるデータ保護機関（ＤＰＡ＝Data Protection Authority）を設置している。こうしたなか、加盟国ごとにルールが異なる現行制度では十分な人権保護が図られていないという問題意識から、今年４月、欧州議会においてＥＵ一般データ保護規則（ＧＤＰＲ＝GeneralData Protection Regulation）が採択された。

２０１８年５月にＧＤＰＲが適用されると、各加盟国のデータ保護法は廃止される。一方、各加盟国のＤＰＡは維持され、各ＤＰＡが１つのＥＵ法を執行することとなる。あわせて、データ保護法の解釈・適用に大きな影響力を持つ第２９条作業部会は、欧州データ保護会議へと改組され、各ＤＰＡの判断が分かれたときに強制力をもって決定することができるようになる。

■ ＧＤＰＲの基本概念とビジネスに与える影響

ＧＤＰＲは、個人データを「処理」し欧州経済領域（ＥＥＡ＝European Economic Area）^（注１）から第三国に「移転」することを原則禁止したうえで、例外的に認められるための条件を規定している。違反した場合は多額の制裁金が課されるおそれがある（全世界年間売上高の４％以下または２０００万ユーロ以下のいずれか高い方等）。

処理には、収集・保管・変更・開示・閲覧・削除など個人データに対して行われるほぼすべての行為が該当する。また、移転については、日本のモニターでＥＵサーバーにある個人データを閲覧するような行為も該当すると考えられる。

対象となる個人データの範囲は、国籍や居住地を問わずＥＵ域内に所在する個人の個人データと考えられるが、執行リスクの観点からはＥＵ市民・ＥＵ居住者のデータの取り扱いが特に重要となる。

ＧＤＰＲはＥＵ法の域外適用を認めている。例えば、ＥＵ居住者が日本のウェブサイトで販売している商品を購入するために入力した氏名・住所・決済情報等の個人データの取り扱いは処理に該当するため、ＧＤＰＲが求める処理の諸要件を満たす必要がある。

また、サイバーアタックを受けて情報漏洩が発生したときの当局への報告や、本人から求められたときの個人データの訂正などについても、知らずに対応しなければ制裁金が課されるおそれがある。このため、従業員教育や有事の際、適時に担当部署に連絡する態勢の整備が重要となる。このほか、ワンストップ・ショップ制度、データ保護影響評価、データ保護責任者などの項目にも注意が必要である。

■ 日本が十分性認定を取得するメリット

仮に日本が欧州委員会から十分性認定^（注２）を受けた場合、ＥＥＡからのデータ移転が自由化されるだけでなく、日本企業が当局から調査されるリスクを減らすことができるというメリットがある。これは当局にとって、日本企業を調査しても容易に制裁金を課すことができないという心理が働くためである。あわせて、標準契約条項（ＳＣＣ）や拘束的企業準則（ＢＣＲ）などの企業の自助努力にかかるコストも削減できる。

他国の事例では十分性認定の手続きには３年半から４年の期間を要している。日本の法制度をＧＤＰＲのレベルまで高める必要はないが、ＥＵ法および過去の欧州委員会の十分性認定の実例を踏まえ、差異を分析し、必要最小限の法改正を行うなど、十分性認定のための取り組みが期待される。

ＧＤＰＲへの対応にあたっては、英国のＥＵ離脱との関係も考慮する必要がある。企業は現時点から、自社の現状を把握し、ＧＤＰＲが課す義務を遵守するための準備を開始すべきである。

【産業技術本部】