１．はじめに

　個人情報漏えい事件が相次ぐ中で、個人情報保護強化の観点から、日本においては2017年5月から改正個人情報保護法が全面施行されましたが、EUにおいては、GDPR（General Data Protection Regulation：一般データ保護規則）が2018年5月から施行され早3か月が経過しました。GDPRは「General Data Protection Regulation」の略で、EUデータ保護指令に基づくEU加盟国各国の国内法の形をとっていた個人データに関する保護規定を、EU標準の保護規則に統一し、かつ規制を強化することにより、「個人データの保護に対する権利という基本的人権の保護」を図ろうとするものです。

　GDPRは個人データの取扱いに関して、日本の個人情報保護法よりも厳格なルールを定めており、かつ管理者又は処理者が義務に違反した場合に非常に高額な制裁金が課されうる制度（GDPR第83条）も有しています。

　EUの定める規則ではありますが、EU域内に拠点がなくとも、EU域内のデータ主体に商品またはサービスを提供する企業、EU域内のデータ主体に広告ターゲティングを行う企業、またEUの個人データに関する処理を受託しているデータセンター事業者等は、GDPRの適用対象となりえますので、日本の事業者においてもGDPR対応は軽視できません。

２．域外適用

　GDPRは、(1)EU域内のデータ主体に対する物品又はサービスを提供する場合又は(2)EU域内でデータ主体の行動のモニタリングに関連して個人データを取り扱う場合には、EU域内に拠点のない者による取扱いにも適用されます（GDPR第3条第2項）。

　「データ主体に対する物品又はサービスの提供」であるか否かは、EU域内のデータ主体に対して物品又はサービスを提供しようとする意図が明白かどうかで判断されると考えられており、EU加盟国内で一般的に用いられている言語や通貨を用いて注文できることや、EU域内の消費者又は利用者に関する言及があるかといったことが判断要素になるとされています（GDPR前文第23項）。

　また、制裁金の賦課の有無あるいはその額の決定にあたっては、管理者や処理者が「適切な技術的および組織的措置」を実施しているかどうかが重要な要素となると言われており、義務違反を指摘された場合に十分な措置を講じていたと説明責任を果たせるだけの準備が望まれます。

３．越境移転規制

　さらに、GDPRはEU（EEA）域内の個人データがEU域外に移転する場合をも規律しており、移転先が、欧州委員会において「十分な保護のレベルにある」とみなされること（いわゆる「十分性認定」を受けていること）や保護措置が実施されていることといった一定の要件を満たした場合でなければ個人データの越境は許されません（GDPR第44条～）。

　現在、日EU間では、日本国の十分性認定の発効も含め対話が進められています。2018年の秋までに日EU間の相互の円滑な個人データ移転の枠組みが運用可能となるように、双方で国内手続を完了させることの共同声明が出されています。（https://www.ppc.go.jp/files/pdf/300717_pressstatement2.pdf）

　十分性認定が得られる見通しですが、各企業においては、十分性認定が得られない場合には自社にとって適切な保護措置を講じ義務違反を指摘されないように留意することが望まれるため、今後の進展に注目が集まるところです。

４．「個人データ」の定義

　GDPRの規律対象である「個人データ（personal data）」とは、「識別された、または識別され得る自然人に関する、あらゆる情報」（GDPR第4条第1号）をいい、日本の個人情報保護法が定義する「個人情報」（個人情報保護法第2条第1項）よりも広い概念を指します。そのため、日本では個人情報に該当しないようなオンライン識別子（IPアドレスやクッキー等）も規制の対象となっています。また、GDPRにおける「センシティブ・データ」（GDPR第9条・第10条）と個人情報保護法における「要配慮個人情報」（個人情報保護法第2条第3項）との間にもその範囲に齟齬があります。

　GDPRの適用の可能性がある事業者においては、規制内容はもちろん、規制対象も個人情報保護法と大きく異なることを念頭に置き、リスクを低減させる行動が求められています。

・GDPRに関連する資料は、個人情報保護委員会の該当ページでもご覧いただけます。

https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

 

≪弁護士　荒内　智美≫