霞が関から見た永田町

霞が関と永田町に関係する情報を、霞が関の視点で収集して発信しています。

MENU

日本政府はGDPRに向き合えているのか

 

 

 

5月25日から適用開始

 

 EU一般データ保護規則(General Data Protection Regulation:GDPR)が2018年5月25日から適用開始となる。まだ日本では一部でしか関心を呼んでいないテーマだが、特に日本企業は無関心でもいられない事柄であり、適用開始前にあらためて、その内容を確認しておきたいところだ。

 

 

国会では話題になっていない

 

 GDPRは2016年5月に発効され、本格適用がこの5月からということになる。EU域内の企業と取引をする日本企業なども影響を受ける規則であるが、この間、日本の国会ではあまり話題にはなっていない。

 

 国会会議録検索システムで、「GDPR」で検索すると0件、「一般データ保護規則」で検索すると4件と表示される。

 

国会会議録検索システム - メッセージ

 

4件は、以下のとおり。

 

2013年5月21日:参議院総務委員会 (政府参考人の発言中)
2016年4月19日:衆議院総務委員会 (政府参考人の発言中)
2016年5月12日:参議院総務委員会 (民進党石原議員の質問中)
2018年4月3日:衆議院本会議    (共産党笠井議員の質問中)

 

 いずれも、GDPRを正面から取り上げたものと言うよりは、議論の中でEUの事例として言及した程度の内容であった。


 もちろん、GDPRはEUの規則であり、その内容について日本政府が介入できるような性格のものではない。国会議員が取り上げないからと言って、日本政府がその対応を行っていないということにもならないだろうが、それでも、国会で十分に議論されていないというのは不安を覚える。

 

 

GDPRの日本への影響

 

 GDPRは個人データの保護に対する権利を保護することを目的としている。ここで言うところの個人データは人物を直接的または間接的に特定することができるような情報のことだ。


 その影響が及ぶとして懸念されているのは、GDPRに違反すると厳しい行政罰が科されることによる。具体的には、GDPR違反とされると、最も高い制裁金が2,000万ユーロまたは前年度の全世界の売上高の4%のいずれか高い方となる。データの扱い方を間違えたことにより課される制裁金が極めて大きいのだ。

 

 GDPRは、個人データ保護を目的とした規則であって、個人データの移転と処理に関して定められている。その対象となる地域は、欧州経済領域(European Economic Area:EEA、EU加盟28カ国に加えてアイスランド、リヒテンシュタイン、ノルウェー)である。この領域内に所在する個人のデータが保護の対象となるのだが、この個人は国籍や居住地を問わず、短期間だけEEA内に所在することになる個人についても適用される。


 日本企業との関係では、例えばEEA内から日本の企業に個人データを送付するような場合には、その処理はGDPRの適用対象となる。


 より注意が必要なのは、GDPRの第2条と第3条の規定である。その条項では、GDPRが適用される対象が示されているが、その中で、EEA内に拠点を持たなくても、EEA内の個人に対して商品やサービスを提供し、個人データを処理または監視する者にも適用されると定められている。


 特に第3条の中に、「regardless of whether the processing takes place in the Union or not.」とある。データの処理がどこで行われたかは問わないということであり、EEA内の個人を対象に商品やサービスを提供する日本企業がそのデータ処理を日本国内で行ったとしても、GDPRの適用を受ける可能性があるのである。

 

GDPRの条文

gdpr-info.eu

 

 

日本政府や企業に求められる対応策

 

 EU加盟国から域外へ個人データを移転する場合について既に各種の制限が課されており、移転先の国・地域で個人データの十分な保護措置を確保しているのか欧州委員会が審査し、認定することとなっている。


 この認定を日本は受けていない。そこで、認定を受けていない国の企業が個人データの域外移転を行う場合には、事業者間において所定の「標準契約条項(Standard Contractual Clauses : SCC)」の締結を行うか、グループ企業内で「拘束的企業準則(Binding Corporate Rules : BCR)」を採用し、監督機関への申請・承認を得る必要がある。これにより、EU域内を介するデータの移転が可能となるのである。


 このBCRについてはGDPRの第4条や第47条で規定されている。日本企業が当面取るべき対応としてSCCやBCRの締結や採用が求められることから、GDPRについて改めて詳細を確認して必要があるだろう。


 もちろん、欧州委員会の認定を日本が受けることになったり、企業がSCCやBCRを結んだりしても、それで問題が解決するわけではなく、今後は常にGDPRを念頭にデータを取り扱っていく必要がある。日本政府としても何も関係がないというわけではなく、企業による対策に対して支援策を講じるといったことも求められる可能性がある。


 EEA内に拠点を持たずに、EEA外からサービスなどを提供することで、個人データの取扱いが発生する場合には、代理人(Representatives)を選任しなければならないというGDPR第27条の規定には注意を払う必要がある。この代理人はEEA内に拠点を置く必要があり、EUに拠点を持たずにEU域内とビジネスを行うような日本企業にあっては、その選任が課題となるのである。


 与野党でこのテーマに関心を持つ議員が少ないというのが現状だと思われるが、GDPRの本格適用が迫るなかで、国会でもその影響や対策について議論する必要があるのではないだろうか。