EUが個人データの保護を強化する枠組み「GDPR」を開始

人間の権利は誰にとっても重要なものですが、その考え方は、国や地域、そして個人によって違いがあります。特にヨーロッパは、先駆けて人間の権利に取り組んできた歴史を持っています。

そのEUにおいて、個人情報保護の新たな取り組みが始まります。「EU一般データ保護規則（GDPR）」です。これは個人データの「処理」と「移転」に関するルールを定めた規則で、EUに所在するすべての個人が自分の「個人データ」をコントロールする権利を、基本的人権として保障することを主目的としています。これまでも個人情報保護に関するルールはあったものの、EU内の国によって違いがありました。GDPRは、それを統一しようという動きでもあります。

GDPRでは「個人データ」を、「識別された、または識別され得る自然人に関するすべての情報」と定義しています。なお、「識別された、または識別され得る自然人」は「データ主体」と呼ばれます。個人データに含まれるものを具体的に挙げると、氏名や所在地、識別番号、メールアドレス、IPアドレスやCookie、GPSなどの技術的な情報、クレジットカード情報、パスポート情報などのほか、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関して「識別され得る情報」も含まれます。

図1：GDPRにおける個人データの例

これらのなかには、Cookieのように、単体のデータでは個人を識別できないものもあります。しかしほかのデータと組み合わせることで個人を識別できると考えられる場合は、そのデータも個人データと見なされるのがポイントです。

個人データに国籍は関係なし！ 漏えいすれば72時間以内に報告義務

EUにおける個人データの厳格な取り扱いを定めたGDPRを、「あくまでもEU域内のルールであって、日本企業には関係ない」と考えてしまうのは早計です。日本企業もGDPRの影響を受ける可能性は十分にあります。

GDPRが保護対象としている個人データは、EU加盟国にアイスランド、リヒテンシュタイン、ノルウェーを加えた「欧州経済地域」（EEA）に所在する個人のデータです。ここで着目したいのは「所在する」という部分で、個人の国籍は関係なく、EU内に所在することが重要です。

そして万が一、個人データの情報漏えいが発生した場合は、監督機関に対し72時間以内に報告する義務があるほか、大量のデータを継続的に取り扱う企業などは、データ保護責任者を任命する必要があるとしています。

日本企業がGDPRの影響を受けるケースは？

では具体的には、どのような日本企業が規則の対象となるでしょうか。まず挙げられるのは、子会社や支店、営業所などの拠点がEEA域内にある企業です。そこでは、EUに所在する従業員の個人データを扱うことになるからです。あわせて、日本本社から現地に駐在している、現地子会社に出向している日本人従業員の個人データも保護対象です。

また、日本からEEAに商品やサービスを提供している企業であれば、EEA域内に子会社や営業所がなかったとしても対象となります。そしてEEAから個人データの処理を委託されている企業も含まれます。これにはデータセンターやクラウド事業者などが、当てはまる可能性が高いとされています。

例えば、フランス人が自国から、日本の化粧品ブランドのECサイトで商品を購入した場合、サイトに入力した個人データはGDPRの保護対象となります。逆にフランス人が日本に旅行に来て、土産物店でクレジットカードを使ったとき、入力したカード情報はGDPRの適用外となります。

日本企業がEEA域内での国際見本市に出展したり、自社製品の展示会を開催して、そこで収集した来場者の情報を国内へ持ち帰ることもデータの「移転」に該当する可能性が高いとされています。EEA域内の子会社（支店も含む）が収集した顧客のメールアドレスをリスト化して、日本の親会社へ送信するのも同様です。このような顧客リストに、日本の親会社からアクセスする行為も「移転」と見なされます。

さらには、海外からの旅行予約やホテル宿泊予約などを受け付けているサイトの運営事業社、旅行会社、ホテル事業者、レンタカー事業者なども対象となる可能性が高いとされています。外国人観光客向けの事業者も、日本国内での予約ではなく、EEA域内の自国から日本に直接、インターネットで予約が入った場合は、その個人データは保護対象となります。

「約27億円」という多大な制裁金、企業によっては倒産の危機も