2019/02/01
国内インターネット企業にとってのGDPR対応
1.GDPRとは GDPRとは、「General Data Protection Regulation」の略称であり、いわばEU[1]における個人情報保護法のようなものです。 ただし、保護対象はEU域内における「個人データ」ですが、これにはIPアドレスやクッキー識別子なども含まれており、日本の個人情報保護法における個人情報とは必ずしも一致しません。 GDPRは、2018年5月25日に適用が開始されました。海外に支店や拠点を持たない日本国内の企業にも適用される可能性があること、違反した場合には巨額の制裁金が課される可能性があることから、一部の日本企業においてもGDPRへの対応が進められています。 しかし、GDPRに対応する必要があるのかどうか、必要があるとしてどの範囲で対応するべきかという問題に対する答えは企業によって様々です。海外に支店や拠点をもたない多くのインターネット企業では、その対応にどの程度リソースを割くべきなのか迷うところなのではないでしょうか。今回は、そのような企業の視点から見たGDPRについて考えていきたいと思います。 2.GDPRが求めていること (1)概要 GDPRの目的は個人(データ主体)に関する情報を守ることにあります。端的に言えばGDPRが求めていることは、企業・団体は個人データの取得と管理を適切に行い、それをデータ主体に対して説明する必要があるということです。 多くのインターネット企業ではプライバシーポリシーを制定し、個人情報保護法に則って個人情報を扱っています。個人情報保護法もGDPRも基本的な姿勢は同じですので、企業の担当者としては自社に適用されうるGDPR特有の規制を把握していくことになるでしょう。 (2)個人データの「処理」と「移転」に対する規制 GDPRは、個人データの「処理」と「移転」に分けてそれぞれの場面ごとに規制を定めています。 ・ユーザーの氏名、電話番号、メールアドレス、IPアドレスの収集 ・ユーザーのクレジットカード情報の保存 ・ユーザーの氏名の開示 ・取得及び保存したユーザーのIPアドレスの削除 など。 また、処理の手段は自動化ツールを用いるかデータ主体に操作させるかを問わない。 あえて定義すれば、EU 域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為[2] 個人データの処理は、ユーザーが個人データの処理に同意を与えた場合や、ユーザーが当事者となる契約の履行のために処理が必要な場合等、一定の場合にのみ適法とされます(適法性の要件)。 そして、ユーザーは、情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動化された取扱いに基づいた決定の対象とされない権利を有します(データ主体の権利)。 データポータビリティの権利はユーザーに対して自社サービスから他社サービスへの移行の便宜を図るものであり、自動化された取扱いに基づいた決定の対象とされない権利はプロファイリング等の対象とならないことを保障してプライバシー保護を強化するものです。また、削除権も導入されました。これらの権利は、日本の個人情報保護法ではカバーされていないものですので注意が必要です。 企業は、データ主体の権利を尊重し、その行使を円滑にさせるようにしなければなりません。 さらに、企業は、個人データの処理にあたって、処理の記録を保存し、個人データの保護のために適切なシステムを設計し、セキュリティ措置を実施し、個人データの漏洩等一定の場合にはユーザーおよび監督機関に通知する義務などを負います。また、企業はこれらの規制に遵守していることを実証できるようにする必要があります(説明責任)。 個人データの移転は原則として違法とされていましたが、欧州委員会は日本を個人データ保護レベルにおいて同等と認定し、2019年2月1日をもってEU域内から日本への個人データの移転が適法とされることになりました。 なお、この認定は個人データの移転以外のGDPR規制を免除するものではありません。 3.適用対象 GDPRは、次のいずれかに該当する場合にはEU域内に拠点を持たない企業に対しても適用されると定めています。 ・EUのデータ主体に対して商品またはサービスを提供する場合 ・EUのデータ主体の行動を監視する場合 それでは、たとえば以下のようなケースはどのように考えればよいのでしょうか。 問題は、A社のサービスが「EUのデータ主体に対して商品またはサービスを提供する場合」に当たるかどうかにありますが、GDPRは、この点について判断するためにはEU域内のユーザーに対してサービスを提供しようとする意図が明白かどうかを確認しなければならないと述べています。 単にEU域内のユーザーがA社のサービスを利用できる状態にあるというだけでは、EU域内のユーザーに対してサービスを提供しようとする意図が明白とは言えないでしょう。一方で、たとえばドイツ語に対応していたり、決済通貨がユーロであったり、EU域内のユーザー向けのキャンペーンなどを行ったりしていれば、そのような意図が明白であると考えられます。 しかしながら、A社のサービスのように日本語以外の対応言語が英語である場合には、その判断はかなり微妙になってきます。EUには(少なくとも当面の間は)イギリスが含まれていますし、英語対応をしているということ自体がEU圏を含むグローバル展開を意図していると解釈される可能性もあります。 このあたりは現時点では明確でなく、しかもケースバイケースの判断にならざるをえません。いずれにせよ日本国内のインターネット企業にとって、EU域内のユーザーがいることのみを根拠にGDPRが適用されると判断することは合理的ではありません。 4.対応方針 (1)プライバシーポリシーの改定 GDPRへの対応を始めるにあたり、最初に考えるのがプライバシーポリシーの改定ではないでしょうか。追加が必要となるのは主に次の項目です。 前述の個人データの処理の適法性要件に該当する事実を、個人データごと又は処理の類型ごとに記載します。 注意が必要なのは、ユーザーの同意を適法性の要件として示した場合には、後にユーザーからその同意を撤回された場合に他の適法性の根拠を持ち出して個人データの処理を正当化することはできないという点です。実際には、個人データの処理が契約の履行のために必要であるという場合も多くあると思われますので、安易にユーザーの同意を適法性の根拠とすることは妥当ではありません。 前述のとおり企業はユーザーがデータ主体の権利を行使することを円滑にさせなければなりません。どのような手続きで自分の個人データの訂正、アクセス、削除、データポータビリティ等を行うことができるのかをユーザーに対して分かりやすく説明することが求められます。 また、ユーザーには企業に与えた同意を撤回したり、監督機関に異議を申し立てたりする権利があることも記載する必要があります。 各個人データの提供が制定法上若しくは契約上の要件であるか否かまたは契約を締結する際に必要な要件であるか否か、そして、ユーザーがその個人データの提供の義務を負うか否か、およびそのデータの提供をしない場合に生じうる結果について示す必要があります。 企業は、取得した個人データの保存期間を示す必要があります。確定した期間を示すことができない場合は、保存期間を決定するために用いられる基準を示すことで足ります。 インターネット企業の中にもGDPRに対応するためのプライバシーポリシーを掲載する企業が増えてきました。近年改正があった個人情報保護法も含め、個人情報保護法制に対する企業の対応状況はまちまちです。中には実態の伴わないプライバシーポリシーを掲載し、体裁だけ整えているという場合もあります。 しかし、そもそもGDRPが適用されるかどうか微妙なケースにおいて、形だけGDPRに合わせたプライバシーポリシーを作成するという対応には懸念も生じます。なぜなら、そのような対応を取ることがかえって「EU域内のユーザーに対してサービスを提供しようとする意図」を示していると捉えられかねないからです。これではGDPRの制裁を回避しようとする行為が逆にその規制を呼び込むことになってしまいます。 やはり、実態に合わないプライバシーポリシーの策定はお勧めできません。 (2)体制の整備 前述のGDPRが求めていること及びプライバシーポリシーに定めたことを遵守するためには、システムや社内の体制を変える必要が出てくることが多いと思われます。あらかじめ計画を立て、プライバシーポリシーの改定と同時に進めていくことが望まれます。 もっとも、GDPRの条文やガイドライン等は相当な分量があり、これらを読みこなして完全に適合するように対応するためにはかなりの労力を必要とします。一般のインターネット企業にとって、限られたリソースの中ですぐにそれを実現するのは現実的ではないかもしれません。 そもそもGDPRの目的は個人に関する情報を守ることにあるというのはすでに述べたとおりですから、ユーザーのプライバシーを守るために重要と考えられる事項をしっかり遵守していくことが大切です。そういった意味でも、まずは個人情報保護法への対応ができているのかどうかを点検するところから始めるとよいのではないでしょうか。 5.今後の動向 2019年1月23日、フランス当局がGDPR米に違反したとしてグーグルに対して約62億円の制裁金の支払いを命じたことが報じられました。個人情報の漏洩等の事故は発生しておらず、違反の内容は個人情報の処理に関するユーザーへの説明や同意取得の不備であったことから、今後もGDPRへの適合が厳しく求められるという見方が出ています。 依然としてGDPRには解釈が不明確な部分も多くあり、当局の動向や摘発事例に注目していく必要があります。 以上 [1] EU加盟国にアイスランド、リヒテンシュタインおよびノルウェーを加えた地域を指すものとします。 [2]「EU 一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」2016 年 11 月 日本貿易振興機構(ジェトロ) ブリュッセル事務所 海外調査部 欧州ロシア CIS 課 © Copyright 弁護士法人リーガルリンク. All rights Reserved.
個人データの「処理」
個人データに対する作業全般が該当する。
対象となるのはEU域内に所在するユーザー(国籍や居住地を問わない。)に関するデータ。
個人データの「移転」
GDPR に定義なし。
「処理」と「移転」の区別は明確に定義されていないが、日本国内のインターネット企業がEU域内のユーザーの個人データを取得する行為は「処理」に該当し、EU域内の拠点で取得した個人データを日本国内の拠点にEメールで送信する行為は「移転」に該当すると思われる。
A社は、海外に拠点を持たない日本企業であり、インターネットブラウザ上で動作するオンラインゲームを運営している。そのゲームは日本語と英語の二言語に対応し、海外在住のユーザーも多い。中にはEU域内に居住するユーザーも含まれるが、A社はGDPRの規制に従った対応をとらなければならないのであろうか。