GDPR(EU一般データ保護規則)とは?日本企業が対策すべきポイントを併せて解説!

この記事のまとめ

GDPRとは、EUが定めている個人データ(個人情報)保護に関するルールです。日本企業であっても、EU企業と取引する場合には、GDPRの適用を受けることがあります。

GDPRに違反した場合、EUから高額の制裁金を科されるおそれが生じます。法務・コンプライアンス担当者が中心となって、GDPRの遵守に努めましょう。

今回は、GDPRによる規制内容の概略を解説します。

GDPRという言葉、聞いたことはありますがきちんと理解できていません。法務担当者として、覚えておくべきでしょうか…?

そうですね。GDPRへの対応は、法務・コンプライアンス担当者が中心となって進めていくべき課題です。この記事で、GDPRへの理解を深めましょう。

※この記事では、法令名を次のように記載しています。
・GDPR…REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
(日本語訳:個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU)2016/679(一般データ保護規則))

(※この記事は、2022年2月2日時点の法令等に基づいて作成されています。)

目次

GDPR(EU一般データ保護規則)とは

「GDPR(General Data Protection Regulation)」とは、EUが定める個人データ取扱い(個人情報保護)に関する規則です。日本語では「一般データ保護規則」と通称されています。

日本企業であっても、EU企業と取引を行っている場合などには、GDPRが適用される場合があります。
そのため、該当する企業はGDPRの内容をよく理解しておくことが大切です。

GDPRが適用される企業の範囲

GDPR が適用される企業は、以下のとおりです(GDPR3条)。

EU域内に拠点がある企業|「管理者」

EU域内に拠点がある企業が個人データを取り扱う際には、「管理者(=自然人又は法人や行政機関などの組織であって、個人データの取扱いの目的・方法を決定する者)」として常にGDPRが適用されます。

個人データの取扱い自体がEU域外で行われる場合でも、EU域内拠点の活動の過程で取り扱われているのであれば、GDPRが適用されます。

EU企業から個人データ処理の委託を受けている企業|「処理者」

「処理者」とは、管理者の代わりに個人データを取り扱う者(組織)を意味します。

EU域内に拠点がある企業・EU企業から委託を受けて個人データを取り扱う処理者には、GDPRが適用されます。

EU域内の個人に商品やサービスを提供している企業

EU域内の個人に対して、商品やサービスを提供する企業には、EU域内に拠点がないとしても、GDPRが適用されます。

EU域内の個人を監視する企業

「監視」の範囲は幅広く、ターゲティング広告やレコメンドなども含まれます。

特に、自社のウェブサイトに対して、EU域内からのアクセスが一定数以上発生している場合には、GDPR対策を行っておくべきでしょう。

GDPRが適用される個人データの範囲

GPDRは、対象企業が当事者となって行われる個人データの取扱いについて、広く一般的に適用されます。たとえば、EU域内に拠点を構える日本企業においては、以下の個人データの移転が頻繁に行われることが想定されますが、いずれもGDPRが適用されるので注意が必要です。

EU域内の拠点に勤務する現地採用従業員や、現地拠点に派遣されている日本人駐在員に関する個人データを日本の拠点に持ち帰る際にも、GDPRが適用されるので注意が必要です。

GDPRが適用される個人データの取扱い例

✅ 現地採用従業員の個人データを日本拠点に持ち帰る行為
✅ 日本から派遣している従業員(長期・短期を問わない)の個人データを日本拠点に持ち帰る行為
✅ 日本の拠点とEU域内の拠点の間で、従業員や取引先などに関する個人データを授受する行為

なお、以下のいずれかに該当する個人データの取扱いについては、GDPRは適用されません(GDPR2条2項)。ただし、日本企業がEU域内を経由して個人データのやり取りを行う際には、これらの例外規定には基本的に該当せず、GDPRの適用を受けるものと考えられます。

GDPRが適用されない個人データの取扱い

✅ EU法の適用範囲外にある活動の過程で行われる場合
✅ 加盟国によって、EU条約第5編第2章(共通外交安全保障政策に関する特別規定)の適用範囲内にある活動が行われる場合
✅ 自然人によって、純粋に私的な行為又は家庭内の行為の過程において行われる場合
✅ 公共の安全への脅威からの保護・脅威の防止を含め、所管官庁によって犯罪行為の防止・捜査・検知・訴追・刑罰の執行のために行われる場合

GDPRの基本原則

GDPR全体に通ずる考え方は、以下の6つの基本原則と、それらに対する説明責任(accountability)に要約されます(GDPR5条)。

GDPRの6つの基本原則

① 適法性・公正性・透明性|lawfulness, fairness and transparency
② 目的の限定|purpose limitation
③ データの最小化|data minimisation
④ 正確性|accuracy
⑤ 記録保存の制限|storage limitation
⑥ 完全性・機密性|integrity and confidentiality

① 適法性・公正性・透明性|lawfulness, fairness and transparency

個人データは、本人との関係において、適法・公正かつ透明性のある態様で取り扱われなければなりません。

「適法性・公正性・透明性」の基本原則は、後述するように、個人データに対する本人の権利内容によく表れています。

② 目的の限定|purpose limitation

個人データは、明確に特定された正当な目的のために収集されなければなりません。さらに、目的外利用は原則として禁止されます。

③ データの最小化|data minimisation

個人データの取得・保管は、目的との関係で必要十分な範囲に限定されなければなりません。

「データの最小化」の基本原則を反映して、後述するように、本人には個人データの消去や利用制限などを求める権利が認められています。

④ 正確性|accuracy

個人データは、正確かつ、必要な範囲で最新の状態に維持されなければなりません。

「正確性」の基本原則を貫徹するため、本人には個人データの訂正・消去などを求める権利が認められています。

⑤ 記録保存の制限|storage limitation

個人データによって個人を識別できる状態を維持するのは、目的に応じて必要な期間に限るべきとされています。

「記録保存の制限」の基本原則は、本人が個人データの消去・利用制限を求める権利などに表れています。

⑥ 完全性・機密性|integrity and confidentiality

個人データの無権限な取扱い・違法な取扱い等に対しては、適切な技術上・組織上の保護を与えるなど、個人データの適切な安全性を確保しなければなりません。

GDPRでは、管理者や処理者の責任内容を定め、「完全性・機密性」の基本原則が果たすことを各事業者に求めています。

管理者の説明責任|accountability

管理者に該当する企業は、上記の6つの基本原則について責任を負い、かつそれらを遵守していることを証明できるようにしておかなければなりません。

後述するように、GDPRの違反にはEUから制裁金が科されるケースもありますので、個人データの取扱いに関するコンプライアンスの徹底が重要になります。

個人データの「取扱い」に関するルール

GDPRの主眼は、個人データの「取扱い」を規制する点にあります。大前提として、個人データの「取扱い」の定義を確認しておきましょう。

個人データの「取扱い」(processing)とは?

GDPR4条(2)により、個人データの「取扱い」は以下のとおり定義されています。
収集から利用・消去に至るまで、個人データに関する大半の業務が「取扱い」に該当します。

Article 4 Definitions

第4条 定義

(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

(2)「取扱い」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。

個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679(一般データ保護規則)【条文】」

個人データの「取扱い」を行うには、原則として本人の同意が必要

GDPRの適用を受ける企業が、個人データの「取扱い」をする際には、原則として本人の同意が必要です(GDPR6条1項(a))。管理者は、個人データの取扱いについて本人が同意している事実を、証明できるようにしておく必要があります(GDPR7条1項)。

また本人は、個人データの取扱いに関する同意を、いつでも撤回することが可能です(GDPR7条3項)。

本人の同意がなくても、個人データの「取扱い」が認められるケース

以下の場合には、本人の同意がなくても、例外的に個人データの取扱いが認められています(GDPR6条1項(b)~(f))

もしやむを得ない事由により、個人データの取扱いについて本人の同意が得られない場合には、上記のいずれかの例外に当てはまるかどうかを慎重に検討しましょう。

GDPRに基づく、本人の個人データに関する主な権利

GDPRでは、本人のプライバシー権を尊重して、個人データに関する以下の権利を本人に認めています。

① 個人データにアクセスする権利

個人データの主体は、管理者や管理の態様などに関する情報提供を受ける権利、当該情報に対して能動的にアクセスする権利を有します(GDPR13条~15条)。

また、個人データに対するアクセス権には、自分の個人データを機械可読性のある形式(電子ファイルなど)で受け取る権利や、それを別の管理者に提供する権利も含まれます(GDPR20条)。

② 個人データの訂正や消去を求める権利

個人データの主体は、管理者に対して、不正確な個人データを遅滞なく訂正することを求める権利を有します(GDPR16条)。

さらに、不必要となった個人データや、違法に取り扱われた個人データなどについては、本人が管理者に対して消去を求めることが可能です(GDPR17条)。

③ 個人データの利用制限を求める権利

正確性に疑義がある個人データや、違法に取り扱われた個人データなどについては、本人が管理者に対して、利用制限を請求する権利を有します(GDPR18条)。

④ 個人データの取扱いについて異議を述べる権利

本人の同意なくとも認められる個人データの取扱いのうち、以下に該当する場合、本人はいつでも異議申立権が認められています。異議申立てがなされた場合、管理者は他に優越する利益等がない限り、個人データの取扱いを停止しなければなりません(GDPR21条1項)。

また、個人データをダイレクトマーケティング(DMや勧誘メールなど)に利用することについては上記の場合以外にも異議を述べることができ、本人が異議を述べた場合には、それ以降、当該個人データのダイレクトマーケティングへの利用は認められません(GDPR21条3項)。

GDPRに基づく、個人データ管理者(企業)の主な責任

GDPRでは、個人データの管理者に当たる企業の責任を定め、個人データの実効的な保護を図っています。
主な管理者の責任内容は、以下のとおりです。

① GDPRに沿った個人データの取扱いシステム・人的体制を整備する責任

管理者はGDPRの規定を遵守した個人データの取扱いを確保し、かつそのことを説明できるようにするため、適切な技術上・組織上の措置を実装する必要があります(GDPR24条)。実装すべき技術上・組織上の措置としては、特に以下のものが挙げられています(GDPR32条1項)。

個人データ取扱いについて実装すべき措置(システム)

✅ 個人データの仮名化・暗号化
✅ システムの機密性などを確保すること
✅ 問題発生時に、適切な態様で個人データにアクセスできるようにしておくこと
✅ システムの定期的なテスト、テストのためのマニュアル整備

② 個人データの取扱いに関する記録をとる責任

管理者は、個人データの取扱いについて、その都度記録をとることが求められます(GDPR30条)。個人データの取扱記録には、少なくとも以下の情報を含めることが必要です。

個人データの取扱いについて記録すべき情報

✅ 管理者等の名前・連絡先
✅ 個人データ取扱いの目的
✅ データ主体の類型、個人データの種類
✅ 個人データの開示先の類型
✅ (第三国や国際機関に個人データを提供する場合)適切な保護措置を示す文書
✅ (可能な場合)カテゴリごとに設けられているデータの削除期間
✅ (可能な場合)技術的・組織的安全管理措置の概要

③ 個人データ侵害時に対応する責任

管理者が個人データの侵害を認識した場合、原則として認識時から72時間以内に、所轄監督機関に対して侵害の事実を通知しなければなりません(GDPR33条1項)。やむを得ない理由により72時間以内の通知ができない場合には、通知の際に遅延の理由を付す必要があります。

また、個人データの侵害によって、本人の権利や自由に対して高いリスクが生じる可能性がある場合には、管理者は本人に対しても、侵害の事実を連絡しなければなりません(GDPR34条1項)。

企業がGDPRに違反したらどうなる?

企業がGDPRに違反した場合、本人に対する損害賠償や、EUに対する制裁金納付のリスクを負うことになります。

本人に対して損害賠償責任を負う

管理者又は処理者がGDPRに違反し、本人に損害を与えた場合には、本人から損害賠償を請求される可能性があります(GDPR82条1項)。

損害賠償の内容としては、慰謝料のほか、風評被害等による逸失利益などが、金額的に大きなインパクトを持つケースが多いです。

極めて高額な制裁金を科されることも

GDPR違反に対しては、EUから制裁金が科されることもあります(GDPR83条)。制裁金の最高額は、以下のいずれか高い方の金額です。

大企業にとっても、極めて大きな負担となる金額ですので、GDPR違反には十分気を付けましょう。

GDPRへの日本企業が対策すべきポイント

損害賠償や制裁金のリスクを回避するためにも、GDPRの適用可能性がある企業は、速やかにGDPR対策を行う必要があります。

GDPRの適用があり得るかどうかを検討する

まずは、自社にGDPRの適用があり得るかどうかを検討しましょう。

GDPRが適用される企業の範囲 」で挙げた適用範囲の類型に、一つでも当てはまっている可能性がある場合には、GDPR対応の要否について速やかに検討しましょう。特に、EU企業との取引がある場合や、EU域内から自社ウェブサイトへのアクセスが多い場合は要注意です。

個人データの「取扱い」ルールに沿って、個人情報管理のマニュアル等を見直す

会社が整備している個人情報の取扱いマニュアルは、国内の個人情報保護法には対応していても、GDPRには対応していないケースが多いかと思います。

もし自社にGDPRが適用される可能性がある場合、法務部門が中心となって、個人情報管理に関するマニュアルやプライバシーポリシーを見直し、GDPRの規制内容がすべてカバーされるように改定しましょう。

この記事のまとめ

「GDPR」の記事は以上です。最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。
ぜひ、メルマガにご登録ください!

参考文献

個人情報保護委員会ウェブサイト「日EU間・日英間のデータ越境移転について」

個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679(一般データ保護規則)【条文】」