GDPRとは

投稿者: | 2021 年 5 月 18 日
0件のコメント

GDPR(General Data Protection Regulation)とは、
EU一般データ保護規則のことを表します。
欧州連合 ( EU ) における新しい個人データの保護法です。

2018 5 25 日より、適用開始されました。

個人の個人データ保護に対する権利を
基本的人権の 1 つであると位置づけ、
これを保護することに主眼を置いたものです。

個人データとは、個人の特定に繋がるデータの全てを表します。

非常に広義に解釈できるため、一見個人的な情報には見えない情報も含まれる場合があります。

例えば、人物を含まない風景写真でも、
その情報が識別可能な個人の口座番号や一意のコードと関連付けられている場合には、個人データと見なされます。

個人の人種的または民族的出身、
あるいは健康状態や性的指向などが明らかになるデータも、
特別カテゴリの個人データとして、
通常の個人データを処理する場合よりも
さらに厳格な規則の対象となります。

例えば、

  • 名前識別番号メールアドレスオンライン識別子
  • 従業員情報販売データベース
    顧客サービスデータ顧客フィードバックフォーム
  • 位置データ生体認証データ
    CCTV     映像ロイヤルティスキームの記録

などが、個人データとしてあげられます。

CCTV

映像監視システムのこと。
映像信号伝送方法である closed-circuit television(閉鎖回路テレビ)の略語。

ロイヤリティスキーム Royalty scheme

Royaltyとは、特許権、商標権、著作権といった特定の権利を利用する権利使用料のことです。

例えば、コンビニや飲食店など、フランチャイズ契約をしている店舗が売り上げの一部を大元の会社に支払う使用料のことを指します。

フランチャイズは、商標権やその他経営技術などを加盟店に貸したり、伝授する変わりに加盟店からロイヤリティという収入を得ます。

また、CMで音楽を使用する場合にも、作曲者や作詞をした人(著作権をもつ人)に対して、音楽を使用するロイヤリティが支払われます。

schemeとは、枠組みを持った計画という意味をもつギリシャ語が語源。その他、陰謀を企てる、図解、図表といった意味をもち、現代においても、体系的な計画を示す言葉として使われています。

すなわち、目標達成に向けた具体的な方法や枠組みのことを指し、単に予定を立てるという意味で使われるプランという言葉よりも踏み込んだ意味を持っています。

また、ロイヤルティという言葉もよく混同して使われます。
実際の会話の中で、どちらを指しているのか、わかるように見ておきましょう。

ロイヤルティLoyalty

もともと、国家に対する感情や態度を表現する言葉で、忠実、忠誠、誠実、義理という意味があります。

現代の日本では、顧客が特定のブランドに対して感じる愛着や信頼といった意味のマーケティング用語として使われます。

例えば、そういった顧客が特定のブランドや商品に愛着や信頼を感じ、繰り返し購入したり、サービスを利用することを顧客ロイヤルティといいます。

また、従業員が働いている組織に対して抱く好意的感情や信頼、精神的繋がりを従業員ロイヤルティと言います。

GDPR施行までの経緯

GDPR以前、欧州経済領域(European Economic Area:EEAには EUデータ保護指令1995 年から適用開始)が出されていました。

国内法の策定は、EEA 各国に委ねられ、法律の内容も加盟国ごとにバラバラで良い「指令(Directive)」でした。

個人データ保護に関する EEA 全体での取り組みを強化するため、欧州議会でGDPRが2012年に立案、2016 4 14 日、正式に採択、2018年5月25日に施行されました。

GDPRは、全てのEU加盟国に共通の法規則として適用される「規則(Regulation)」です。

EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。

対象

個人データ(氏名やクレジットカード番号)が対象となり、
企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外となります。

EU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、
または、処理者(データ管理者の委託先としてデータを処理する組織)、
または、データの主体(個人)も対象となります。

対象となる個人データの取り扱い場面が広く、ビジネス規模や企業規模に関わらず適用の対象となります。

大企業だけでなく中小企業でもその内容を正しく理解し、適用対象となる場合には、 適切な対策を講じておく必要があります。

適用対象となる日本企業として、

  • EEA域内に現地拠点子会社・支店駐在員事務所などを設置している企業
  • EEA域内に現地拠点は設置していないが、域内で収集した個人データを日本で処理しようとする企業
  • EEA域内の現地拠点の有無に関わらず、域内に個人データ処理用のサーバーやストレージなどの機器を設置している企業
  • EEA域内の現地拠点の有無に関わらず、域内の個人に対して日本 から直接、商品やサービスを提供している企業

などがあげられます。

また、EEA 加盟国のデータ保護監督当局に、法律に違反した組織に多額の制裁金を科する、より強力な権限が付与されています。

ここでは、EEA域内で行う個人データの「処理」と、 EEA 域外の第三国に個人データを「移転」するために順守すべき法的要件を定めています。

処理とは、

個人データまたは 個人データの集合に対して行われる単一もしくは一連の作業です。

収集・保管・変更・開示・閲覧・削除など、個人データに対して行われる、ほぼすべての行為が該当します。

処理の具体例として、例えば、

  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客の連絡先詳細の変更
  • 顧客の氏名の開示
  • 上司の従業員業務評価の閲覧
  • データ主体のオンライン
  • 識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

などの行為が処理と考えられます。

例えば、

  • メールマガジン配信用のデータベースに EEA 域内の個人が含まれる場合
  • EEA 域内の従業員に記名式アンケート調査を実施して個人データを取得した場合
  • EEA 域内で開催するセミナーの参加者に日本のサーバーを介して受講票を配信した場合
  • EEA 域内の販売代理店と個人データが関連する事項について契約した場合
  • EEA 域内の現地従業員が提案書を作成した場合
  • EEA 域内のクラウドサービスを契約している場合 

などに適用されます。

SCC(Standard Contractual Clauses:標準契約条項)

  • EUモデル契約条項として、欧州委員会により策定されている。
  • EEAから移転される個人データが GDPR に準拠して転送されるように、 移転元企業移転先企業間の契約時に使用される標準化された契約条項。

処理について、以下のことが要件として定められています。

  • 処理対象の個人データおよびその処理過程を特定しなければならない
  • 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
  • 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
  • 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
  • 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない
  • 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない

移転とは、個人データを含んだ電子形式の文書を電子メールでEEA域外に送付することなど を表します。

EEA(欧州経済領域)の域内から域外(第三国)への個人データの移転は原則として禁止されています。

日本国内のサーバーを使って、世界に向けたEC サイトを運営している日本企業では、EEA 所在者は、品物を届けてもらうため、自分の氏名や住所などを入力しますが、EEA 所在者の個人データが EEA 域外において取得されたことになります。

EEA 域内の従業員データを、日本国内のサーバで一元管理する場合は、処理と移転と考えられます。

個人データは顧客関連のものだけではなく、従業員データも含まれます。

また、EEA 域内の従業員データを、日本から閲覧する場合は、
EEA 域内の従業員データを日本国内に移転し、処理していなくても、
インターネットなどを介して日本から域内の従業員データを閲覧するだけで移転とみなされます。

一定の法的要件を満たした場合に限り、移転が認められます。

例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有していると認められていない国への情報移転は、次ののいずれかの要件を満たさなくてはいけません。

  • 本人同意を得る
  • 拘束的企業準則(binding corporate rules)を策定する
  • 標準契約条項(SCC:Standard Contractual Clauses)を含む個別のデータ移転契約を、データ移転先の企業と締結する

チェック事項として、以下のことがあげられます。

  • 重要なデータがどこに存在し、誰がアクセスできるのかを把握できているか
  • リアルタイムのリスク評価に基づいたデータのアクセスコントロールができるか
  • 様々な場所やデバイス、 アプリケーション間におけるデータに対して、ポリシーベースの分類や保護ができるか
  • データや ID の侵害を自動的に検出することが可能か
  • それらの事象が発生した場合に、適切な対応を取ることができるか
  • データに対する保護のポリシーや手順を、継続的に評価/更新しているか
    • ポリシーpolicy)とは、物事を行うときの方針や原則のことです。

もし、上記のGDPRで定められた義務内容に違反した場合。

前年度の全世界売上高の4%もしくは2000万ユーロ(約25億円程度)のどちらか高い方が制裁金として課されます。

この場合の、全世界売上高には、EU内の子会社がGDPRを違反した場合でも、グループ連結で制裁が課されることを意味します。

もし、海外に拠点を持っていない場合でも、
EU居住者が日本のWebサイトから物品を購入する際、
氏名や電話番号、クレジットカード番号などを入力してもらうシステムを運用するには、GDPRが定める義務内容を満たす、諸要件を整える必要があるので、注意しましょう。