個人情報保護に関する法律が世界各地で着々と整備され、企業は対応していかなくてはならない。ただし実際のところ、まだ不明瞭なところもあり、判断に迷うことも多い。そういいつつも、何かを待っていたら手遅れになりかねない。
まずは最新動向として、EUの「一般データ保護規則(以下、GDPR)」についてはウィルマーヘイル法律事務所 弁護士 杉本武重氏、日本の改正個人情報保護法とEU十分性認定についてはひかり総合法律事務所 弁護士 板倉陽一郎氏が解説した。実際のセミナーは相当詳細に踏み込んだものの、ここではポイントをピックアップする。
EUのGDPR:基本理念、重要用語、義務、Brexitの影響
EUのGDPRはEU全体にかかる個人情報に関するデータ保護法だ。現状の「EUデータ保護指令」はEU加盟各国ごとに異なっていたところ、EU全体で共通のものに置き換えることになる。2018年5月25日から適用開始となり、以降は加盟各国のデータ保護法は廃止となる。
GDPRは制裁金の大きさなど、規制の厳しさが目立つ。その理由は、GDPRの大前提が民主主義で重要視される基本的人権保護を目的としているから。基本的人権という重要な価値を保護するため、厳重かつ厳重になるというわけだ。GDPRの中身は個人データの処理と移転に関して満たすべき法的要件について定められている。例えばクレジットカード情報を保管する、メールアドレスを収集するなどが個人データの処理にあたる。個人データを第三国へ移動することが移転にあたり、第三国から閲覧する行為も含まれる。
重要な用語がいくつかある。「個人データ」とは個人(法律用語では「自然人」)に関する情報、「仮名化データ」はデータ主体が分からないように処理された個人データ、「匿名化データ」は暗号化されかつ鍵が破棄されているなどのデータで、元が個人データであっても個人データから除外される。ほかにも「データ主体」、「管理者」、「処理者」、GDPRの適用範囲などが規則で細かく定義されている。
杉本弁護士は重要事項としていくつかの役割を選任する義務を説明した。「EU代表者を選任する義務(第27条)」はEU域内に拠点を持たない企業で一定の条件を満たすとこの義務が発生する。「データ保護責任者」はデータ保護の任務を遂行する役割で、条件を満たすと義務が発生する。いずれも怠ると高額な制裁金の対象となるため要注意だ。
いわゆる「Brexit」、イギリスのEU離脱の影響はまだ不透明だ。脱退時期はどんなに早くともGDPR適用開始後となるため「イギリスに対しても適用される期間がある」と杉本弁護士は指摘する。脱退後、イギリスがEUの外となれば「移転」に関わる可能性が考えられる。十分性認定を得る可能性も高いが、いずれにしても現時点では分からない。
GDPRは「2018年だからまだ先」と思えるものの、油断はできない。最近アメリカとEU間のセーフハーバーが(猶予期間も終わり)無効になり、ハンブルグのデータ保護当局が未対応のアメリカ企業に制裁金を課したことがあったからだ。まだ無効直後なので制裁金も少なめで注意喚起の意味合いが強そうだ。
なおGDPRの作業部会は2016年末までにガイドラインを作成する予定。まだ出ていないものの、これは重要な指針となりそうなので今後注視したほうがよさそうだ。
日本の改正個人情報保護法:改正のポイントとEUの十分性認定
日本では2015年に改正個人情報保護法が成立した。ポイントとしては個人情報の定義の明確化、各種規定の整備、罰則の新設、個人情報保護委員会の新設、主務大臣の権限を一元化などが挙げられる。「明確化」とされる個人情報の定義や、「要配慮個人情報」や「匿名加工情報」など新設された各種規定についてはよく確認しておいたほうがいいだろう。
改正個人情報保護法にも国境を越える場合の規定がある。先述したGDPRと関連してグローバル企業ではデータの保管場所や処理により、該当するルールに則っているかどうか確認しておく必要がある。
また気になるのが日本がEUの十分性認定を得られるかどうかだ。EUから日本へデータを移転するとなると、現状でもGDPR適用後でも企業には重い負担が課せられている。これが解決できるかどうかの鍵となるのが十分性認定だ。
十分性認定とは、EUが個人データの十分な保護措置が確保されている国や地域であると認定すること。もし日本がEUから十分性認定を取得することができれば、企業の負担は軽くなる。しかし現時点では取得の見通しはたっていない。ただし実は改正個人情報保護法はEUの十分性認定取得を目指していることも背景にあり、努力はしているところ。楽観はできないものの、動向を注視しておきたい。
