適用対象になるのはどんなケースか?
EUにおける個人情報保護が2018年から変わる。現行法は1995年に採択された「EUデータ保護指令」となる。なおEU法では拘束力の低い順に「勧告・意見」、「決定」、「指令」、「規則」と4類型で構成されている。現行法の「指令」というのは、指令の中で命じられた結果のみ加盟国を拘束し、達成手段や方法は加盟国に任されている。そのためEU内で個人情報保護に関する手続きや法律はそれぞれの国内法に従わなくてはならず、煩雑で非効率という指摘もあった。
そこで各国ごとの「指令」から「規則」を定めようという動きになり、2012年に一般データ保護規則提案が公表された。後にEU内で議論や修正が進み、2016年4月に欧州議会が一般データ保護規則(以下、GDPR)を2018年5月25日に発効することを決定した。これからは「規則」となるので直接適用性を有し、加盟国の国内法体系の一部となる。つまりこれまでEU内の各国で定められていた法律は2018年5月からGDPRに置き換わることになる。
GDPRでは主に個人情報の取り扱い、例えばデータ移転についての規則などが定められている。情報主体となる個人の権利が基本的人権として明確にされたところは大きな特徴としておさえておきたい。民主主義において重要な基本的人権にかかわるため、違反時の制裁金は高額であり、要求事項が厳格に定められている。
まずは「うちはそもそも対象となるのか」を確認したいところ。門脇氏は適用される主なケースを2つ挙げた。1つは日本からEU域内に向けてサービスを提供しているケース。例えば日本で宿泊施設の予約サイトを運営していて、EU域内にもサービスを提供しているなど。EU域内の顧客の個人情報が日本に蓄積あるいは処理されるため適用対象となる。
もう1つはEU域内の個人データを活用しているケース。例えばEU域内で運用している顧客管理システムを日本支社からアクセスしてデータ分析するなどだ。データセンターがEU域内にあったとしても、日本にいる従業員のパソコン画面に個人データを表示するとGDPRの適用対象とみなされる。ほかにもEU域内と日本との間で従業員の人事評価など個人情報をメールでやりとりする場合も該当となる。
