Travel Journal Online

バード&バードの杉本弁護士が語る「GDPRで変わる個人データの取り扱い」 

2018年11月5日 8:00 AM

EU(欧州連合)による個人情報保護の新たな枠組みであるEU一般データ保護規則(GDPR)が18年5月に施行された。バード&バード法律事務所ブリュッセルオフィス・パートナーの杉本武重弁護士が18年9月14日、欧州客の個人データを取り扱う際に押さえておくポイントを解説した。

 もともとEUのデータ保護はEUデータ保護指令があり、EU加盟国はそれぞれ2000年前後から指令に基づいて、加盟国法としてのデータ保護法を立法し運用してきました。しかし、1995年以降、インターネットが普及・SNSが浸透するなどしてビジネスのあり方が抜本的に変わり、保護指令では対応できなくなっている実情がありました。

これまでと何が違うのか

 新たに登場したGDPRですが、個人データの保護に対する権利という基本的人権の保護を目的とする点は、データ保護指令と変わっていません。保護指令に基づく各国のデータ保護法は廃止されましたが、40を超える各国の保護監督当局はそのままとなっています。

 これは、事業者が当局に対してGDPRに関する説明義務を果たすうえで、英語で対応可能な場合もあるものの、原則的には当該国の母国語で返答する必要があり、当該母国語で手続きがなされるということです。

 GDPRに違反した場合の制裁金は、事業者の場合には最大で前事業年度の全世界年間売上高の4%以下と定められ、高額に設定されました。全世界売上高は、たとえば日本企業の英国の子会社が違反した場合、当該日本企業グループ全体の売上高のことです。各国の当局の上級審にあたる機能を果たす欧州データ保護会議が設置され、GDPRに関してガイドラインが策定されています。

処理と移転に関する法律

 GDPRを一言で説明しますと、個人データの処理と移転に関する法律といえます。欧州の訪日旅行者の個人データを扱う際に、GDPR上、個人データの処理に当たるのか個人データの移転に当たるのかはとりわけ重要な要素になってきます。

 どちらに該当するかで、どのようなGDPR対応をどこまで実施するべきなのが決まってくるためです。個人データは識別され、または識別可能な自然人に関連するすべての情報を指します。

 処理とは個人データの収集や保管、閲覧、開示など全般を指しています。日本企業が欧州経済領域(EEA)に所在する個人から旅行商品を受け付けている場合、多かれ少なかれGDPR対応をする必要があるということです。

 これに対し、移転の概念は指令とGDPRのいずれにも定義されていませんが、第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為であるといえます。

 たとえば、欧州の事業者が個人データを取得し、日本企業に送ってくる場合などが該当します。処理と移転の違いを考える際、個人データがどこからどこへ行くのかでなく、個人データをどこで(EEA内かEEA外か)ひとまず取得したかがポイントになります。

どちらに該当するかで

 企業がGDPR上の義務を考えるうえで重要な概念になるのは管理者と処理者です。GDPRでは目的と手段を決定する立場が管理者、管理者の決めた目的と手段に基づいて処理を行うのが処理者であると簡単に区別していますが、どちらに該当するのか争いになるケースもあります。

 たとえば、欧州の旅行業者が旅行商品を売り、日本側がホテルや交通機関を手配する場合、日本側が管理者か処理者か悩ましい問題となってきます。基本的に処理の目的と考えると、個別の事情によって異なるとはいえ、日本側は処理者に該当する可能性が高いといえそうです。

 また、仮にEU域内に子会社や支店を持たない場合は、一定の場合にEU代理人を選任する義務が発生します。EU代理人サービスを提供する会社が少しずつ出てきていますが、リーズナブルな価格でサービスを提供するところまで至っていない印象を受けています。現状、価格の比較をしながらどれだけ欧州客を扱うのか見定めつつ、もう少し様子を見てもいいと思っています。

旅行事業者に必要な対応

 GDPRに該当することを前提に旅行事業者はどのような対応をすればいいのでしょうか。質問票作成やインタビューを行うデータマッピングは、どの業務が処理と移転に当たるのか網羅的に洗い出すことができ、有効な手段の1つです。データ処理に関する質問項目を作成する際のポイントは処理の目的ごとに回答を求めることが重要です。

 質問項目の例としては1処理の目的の特定、2どのようなデータ主体のデータを処理しているのか、3処理・移転の目的をデータ主体に通知したか、4データの詳細、5データが含まれているデータベースの名称、6特別カテゴリーのデータの有無、7データの保存期間の有無と程度、 8データの保存を行う法的義務の有無、が挙げられます。

 個人データの移転に関しては、事業者グループ内での移転か事業者グループ外の移転であるかを区別して、個人データの移転の内容に関して質問項目を作成することになります。

欧州旅行者を受け入れる場合は

 日本の旅行業者が欧州からの訪日客を扱う際に該当するケースが多い処理について、留意すべきポイントを見てみます。GDPRは単に遵守しているだけでよい法律でなく、どのように遵守しているかを説明する責任を管理者に対して課しています。

 GDPR上、適法性・公平性・透明性、目的の限定、データの限定、正確性、保管の限定、安全性と機密性などが管理者が守るべき原則となります。これらの義務をどのように遵守しているかについて当局に対する説明責任を果たすためにはどのようにすればいいのでしょうか。

保護方針とプライバシーポリシー策定を

 まず、一つの方法として、データ保護方針の策定があります。日本では個人情報保護法に基づく個人情報保護規定がありますが、GDPRに対応したデータ保護方針を持つ必要があるということです。

 また、内部規定だけでは外部から見れば管理者がGDPRを遵守しているのかどうかはわかりません。そこで、多くの企業がGDPRに対応したプライバシーポリシーの策定を行うという対策を取っています。

 当局が、ある会社を調査する際、まず目に付きやすく、最初にチェックする項目であるため、対応策として優先度が高いといえます。続いて重要なのが、処理行為の記録を作成・維持する義務です。オランダ当局は18年7月に、ランダムに事業者を選び、処理行為の記録を残しているのかについてすでに調査を実施しています。

データ主体の同意

 処理はGDPR上の法的根拠に基づいて行われなければなりません。GDPR上の6つの法的根拠のうちいずれかの要件を満たしていればいいわけですが、そのなかにデータ主体の同意が挙げられます。しかし、同意は撤回が自由なうえ、削除権が広範に認められる場合が多く、使い勝手が悪い法的根拠といえます。無難なのは「正当な利益(legitimateinterest)」を根拠とすることといえます。

 また、個人データの取得の際に、処理の目的などをデータ主体に情報通知を行う義務があります。ウェブで情報通知のフォームをつくるのが1つのやり方ですが、プライバシーポリシーのなかで情報通知に記載すべき内容を盛り込む方法が比較的負担の少ないやり方だと考えています。

 さらに、データ主体からGDPR上の権利行使の要請を受けた際に、当該要請に対して迅速に返答できるようにすることも、GDPR対応として重要です。もしサイバーアタックの被害を受けた際、管理者・処理者が十分なセキュリティー要件を満たしていないと当局が制裁金を課す対象になりえます。

 フランス当局が「THE CNIL’S GUIDES」というガイドライン、欧州ネットワーク情報セキュリティー機関(ENISA)が処理のセキュリティーに関するハンドブックをそれぞれ公表しています。企業が処理のセキュリティーの要件を適切に満たすために対応を進めるうえで、これらのハンドブックは参考になります。

 効果的なデータ保護管理システム(Data Protection Management System)をいかに構築すべきのか。新規の処理・移転を行う場合、データ保有者から削除の権利行使の要請がある場合、データ侵害が発生した場合など、従業員がいかに迅速に対応し、自律的にデータ保護管理システムのメカニズムを動かすことができるのでしょうか。

データ保護管理体制の構築

 解決策として考えられるのは、日本本社と欧州拠点を横断的に管轄するデータ保護管理体制の構築です。すべての従業員に満遍なくGDPRのトレーニングを行うのではなく、各拠点ごとに選任したデータ保護マネージャーに教育のリソースを集中させ、専門的なトレーニングを受けさせることです。

 各従業員に対応を求めるのでなく、EEAの個人データの処理や移転に関して問題があればこのデータ保護マネージャーに判断を仰ぐ体制にしていくという形で、社内でのGDPRへのコンプライアンスを高めていくという方法が考えられます。

 18年9月に欧州委員会は、日本のデータ保護の十分性に関し、ドラフト文書を公表しました。本来、欧州委員会は認定していない国に対するデータの移転は原則禁止しており、要件を満たす場合のみ認めるという建て付けとなっています。

 十分性認定は、十分性が認められた国・地域へ の個人データの移転を適法とする決定です。ただし現状のドラフト文書によれば、日本の場合、適用されるのは民間事業者のみで、国の機関、独立行政法人などは適用されないということになりそうであることに留意しておく必要があります。

優先すべき対応は

 いよいよGDPRの適用が始まりましたが、来年5月までの適用開始1年間は当局側も様子を見ながら慎重に執行すると考えられます。とはいえ、GDPR上の数ある義務のなかでも、プライバシーポリシー策定や処理行為の記録の作成は重要ですので、優先的に対応するようおすすめします。

 訪日客を取り扱う場合、一般消費者の個人データを大量に処理することになることから、GDPRの違反リスクと制裁金は厳しい傾向になることが予想されます。そのリスクに留意し、今後の動向に注視しつつ、また対応の優先順位を間違えずに、どこまでリソースをつぎ込むかの経営判断を行っていただければと思います。

すぎもと・たけしげ●弁護士(59期)・ニューヨーク州弁護士・ブリュッセル弁護士会(準会員)。13年よりベルギー・ブリュッセルにおいてEU競争法・EUデータ保護法を中心に企業に対して法的助言を行う。18年6月より現職。

Copyright © TRAVEL JOURNAL, INC. ALL RIGHTS RESERVED.