約24億円の制裁金!? GDPR違反の高い代償
個人情報保護の重要性は広く認識されるようになって久しいですが、GDPR(General Data Protection Regulation:EU一般データ保護規則)対策は十分でしょうか?
「GDPRなんて知らない」、「GDPRはEUのルールだから日本の企業は関係ないでしょ」などと考えた方、大変危険です。
GDPRはEUの規則ですが、日本を含む海外の企業にも適用される可能性があるのです。
2019年1月にアメリカのグーグルがGDPRに違反したとして5,000万ユーロ(約60億円)の支払いが命じられ、大きな話題となりました。
このようにGDPRは、EU域外の企業にも適用され、違反すると巨額の制裁金が科される可能性があるため、GDPR対応が迫られているのです。
この記事ではGDPRとは何か、どのような場合に適用されるのか、違反するとどうなるのか等について詳しく解説します。
GDPRとは
GDPRは、個人データの保護やEU・EEA域内のデータ処理の活性化等を目的に制定された、EU・EEAにおける個人データ保護規約です。
99条からなり、個人情報保護委員会のホームページで仮日本語訳が公開されています。
日本にも個人情報保護法がありますが、GDPRとは、保護される個人情報の範囲や、データ主体の権利の種類などの点で違いがあります。
また、厳格なルールのもとで、違反者に対して高額な制裁金を定めています。
EEA:欧州経済領域。EU加盟国とアイスランド、リヒテンシュタイン、ノルウェーにより構成されている。
GDPRが適用される地理的範囲
EU域内に拠点がある場合
EEA域内に管理者または処理者の拠点がある場合は、GDPRが適用されます。
GDPR3条1項
「本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。」
拠点とは、「安定的な仕組みを通じて行われる実効的かつ現実の活動の実施」を意味するとされます(GDPR前文(22))。
支店という形式かどうかや、子会社などの法人格があるかどうかは問題とならず、何らかの活動拠点があって収益を上げている場合には、それが拠点と評価され、GDPRが適用されることになります。
管理者とは、「自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者」をいいます(GDPR4条(7))。
すなわち、他者に指図されることなく、誰からどのような個人データをどのような目的で取得するか、取得した個人データをどのように利用・加工し、どのような場合に消去するのかを自ら決めることができる者をいいます。
処理者とは、「管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織」を意味します(GDPR4条(8))。
すなわち、管理者の代わりに個人データを取り扱う者をいいます。
EU域内に拠点がなくてもGDPRが適用される場合
以下の2つの場合には、EU域内に拠点がなくてもGDPRが適用されます。
- データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品またはサービスの提供(GDPR3条2項(a))
- データ主体の行動がEU域内で行われるものである限り、その行動の監視(GDPR3条2項(b))
EU域内のデータ主体かどうかは、その人の国籍を問わず、EU域内に所在している人物かどうかにより判断されます。
上記1、2の詳細については、以下で解説します。
EU域内に拠点がなくてもGDPRが適用されるケース①「物品・サービスの提供」
たとえば、国内のホテル・旅館業者がEU域内の人から宿泊予約を受けたり、EU域内の人に商品を販売したりするような場合、GDPRが適用されます。
旅行業者からEU域内の人の予約をまとめて受ける場合も、EU域内のデータ主体の個人データを取り扱うことになるためです。
また、現代はインターネット上で海外から簡単にアクセスできるため、インターネット上で日本人向けに予約受付をするだけでもGDPRが適用されるようにも思えますが、それだけで直ちに適用されることにはなりません。
EUの言語や通貨を使って予約や注文ができたり、EUの消費者・ユーザー向けの説明がある場合に、EU域内のデータ主体に対する物品・サービスの提供の意図が明確であるとして、GDPRが適用されることになります。
EU域内に拠点がなくてもGDPRが適用されるケース②「行動の監視」
データ主体の個人的な嗜好や行動等を分析・予測するためにインターネット上で追跡をしている場合は、行動の監視に当たります。
たとえば、EU域内から来た宿泊客に対してターゲティング広告を行う場合などが行動の監視に該当します。
GDPR違反と制裁金等
制裁金
データ主体の権利を侵害する行為や、域外移転の手続に反する行為に対しては、2,000万ユーロ以下か、全世界の年間総売上の4%以下の、いずれか高い方の金額の制裁金が科されます。
データ主体本人から個人データを取得する際に必要な情報を提供しなかった場合や、第三者から個人データを取得した際にデータ主体に対して必要な情報を提供しなかった場合などが該当します。
また、GDPRの手続違反に関する行為に対しては、1,000万ユーロ以下か、全世界の年間総売上の2%以下の、いずれか高い方の金額の制裁金が科されます。
個人データの侵害があった場合に72時間以内に監督機関に通知しなかった場合や、個人データの取扱活動の記録を残さなかった場合などが該当します。
民事上の責任
GDPRに違反した場合、当該違反をした管理者・処理者は、違反によって財産的・非財産的な損害を被った人から損害賠償請求される可能性があります(GDPR82条1項参照)。
各国の制裁
EU加盟国の中には、個人データ侵害に関する刑罰規定を設けている国があります。
そのため、故意・過失によって各国法に違反した場合には、GDPRの制裁金とは別に、処罰を受ける可能性があります。
大量の個人データを取得する場合におけるDPO選任義務
EU域内から大量の個人データを取得する場合は、データ保護オフィサー(DPO)を選任することが必要になります。
DPOとは、個人データの処理・移転に関して管理・監督する責任者の立場にある人をいいます。
DPOについては、業務遂行に関して管理者・処理者からあらゆる指図を受けないという独立性が保障されている必要があります(GDPR38条3項参照)。
また、DPOは他の業務を兼務することができますが、利益相反が禁止されているため(GDPR38条6項参照)、経営層クラスとの兼務はできません。
そして、DPOは、少なくとも以下の業務を行う必要があります(GDPR39条)。
- 従業員に対してGDPR及びEU加盟国のデータ保護規定による義務を通知し、助言する
- 取扱業務に関与する職員の責任の割り当て、意識向上、訓練、GDPR及びEU加盟国の個人データ保護規定の遵守状況の監視、個人データ保護と関連する管理者・処理者の保護方針の遵守状況の監視
- 要請があった場合にデータ保護影響評価に関して助言をし、遂行を監視する
- 監督機関と協力する
- 個人データの取扱いに関連する問題について監督機関の連絡先になり、協議をする
GDPR対応のポイント
データ主体から個人データを直接取得する場合の注意点
データ主体から個人データを取得する際、管理者は、その身元や連絡先、個人データの取扱いの目的、取扱いの法的根拠などの情報を提供しなければなりません。
データ主体に表示すべき情報は以下のとおりです(GDPR13条)。
表示すべき情報 | 注意点 | 条項 |
管理者の身元と連絡先(代理人がいる場合は代理人の身元と連絡先も提供) | 連絡先の詳細 | 1項(a) |
データ保護オフィサー(DPO)がいる場合は、その連絡先 | 連絡先の詳細 | 1項(b) |
個人データの取扱いの目的と取扱いの法的根拠 | 利用目的と法的根拠(6条の各項目) | 1項(c) |
個人データの取扱いの適法性根拠がGDPR6条1項(f)である場合に、管理者または第三者が求める正当な利益 | 正当な利益の内容を明示 | 1項(d) |
個人データの取得者または取得者の類型 | 1項(e) | |
域外移転情報(保護措置などを含む) | 保護措置の有無など | 1項(f) |
個人データが記録保存される期間(期間を提示できない場合は、期間を決定するための基準) | 保管方法、場所など | 2項(a) |
個人データへのアクセス権、訂正・消去権、管理者による取扱いの制限を求める権利、取扱いへの異議権、データポータビリティ権が存在すること | 各権利があること、行使可能であることを示す | 2項(b) |
個人データの取扱いの適法性根拠がGDPR6条1項(a)または9条2項(a)である場合、いつでも同意を撤回できる権利があること | 2項(c) | |
監督機関への異議申立権 | 2項(d) | |
個人データの提供が制定法・契約上の要件かどうか、契約を手活けする際に必要な要件かどうか、データ主体が個人データ提供の義務を負うかどうか、データの提供をしない場合に生じうる結果 | 契約に必要な場合に、提供を拒んだときの効果を明示 | 2項(e) |
プロファイリングを含め、自動的な決定(GDPR22条1項・4項)が存在すること、これが存在する場合はその決定に含まれる倫理、当該取扱いのデータ主体への重要性およびデータ主体に生ずると想定される結果に関する意味のある情報 | 自動処理の内容、処理方法を分かりやすく説明 | 2項(f) |
ただし、これらの情報以外にも、どのような方法で取得するのか、収集するデータの種類、技術的・組織的措置の内容、使用しなくなった個人データの廃棄方法、個人データを共同管理する場合にはすべての管理者の情報などの情報も提供する必要があるといわれています。
これらの情報を提供する方法は、書面で行うのが原則です(GDPR12条1項)。
電子的な手段により提供する場合は、適切な方法をとる必要があります。
そして、情報提供をする際は、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式によって、明確かつ平易な文言を用いる必要があります。
個人データをデータ主体以外から間接的に取得する場合
管理者は、個人データを取得してから合理的な期間内(遅くとも1か月以内)か、データ主体に最初の連絡をする時点、またはデータ主体に対して最初に個人データを開示する時点のいずれか早い時点までに、管理者の身元や連絡先、個人データの取扱いの目的、取扱いの法的根拠などの情報を提供しなければなりません。
データ主体に表示すべき情報は以下のとおりです(GDPR14条)。
表示すべき情報 | 注意点 | 条項 |
管理者の身元と連絡先(代理人がいる場合は代理人の身元と連絡先も提供) | 連絡先の詳細 | 1項(a) |
データ保護オフィサー(DPO)がいる場合は、その連絡先 | 連絡先の詳細 | 1項(b) |
個人データの取扱いの目的と取扱いの法的根拠 | 利用目的と法的根拠(6条の各項目) | 1項(c) |
関係する個人データの種類 | 1項(d) | |
個人データの取得者または取得者の類型 | 1項(e) | |
域外移転情報(保護措置などを含む) | 保護措置の有無など | 1項(f) |
個人データが記録保存される期間(期間を提示できない場合は、期間を決定するための基準) | 保管方法、場所など | 2項(a) |
個人データの取扱いの適法性根拠がGDPR6条1項(f)である場合に、管理者または第三者が求める正当な利益 | 正当な利益の内容を明示 | 2項(b) |
個人データへのアクセス権、訂正・消去権、管理者による取扱いの制限を求める権利、取扱いへの異議権、データポータビリティ権が存在すること | 各権利があること、行使可能であることを示す | 2項(c) |
個人データの取扱いの適法性根拠がGDPR6条1項(a)または9条2項(a)である場合、いつでも同意を撤回できる権利があること | 2項(d) | |
監督機関への異議申立権 | 2項(e) | |
個人データが生じた情報源、公衆がアクセス可能な情報源から個人データが来たものかどうか | 2項(f) | |
プロファイリングを含め、自動的な決定(GDPR22条1項・4項)が存在すること、これが存在する場合はその決定に含まれる倫理、当該取扱いのデータ主体への重要性およびデータ主体に生ずると想定される結果に関する意味のある情報 | 自動処理の内容、処理方法を分かりやすく説明 | 2項(g) |
この情報提供も、データ主体から直接取得する場合と同じく、書面によって行うのが原則となります。
取扱活動の記録
個人データの管理者や処理者は、取扱活動を記録して保管しなければなりません。
管理者が記録する必要がある情報
記録する情報 | 条項 |
管理者・共同管理者・代理人・データ保護オフィサー(DPO)の名前と連絡先 | 30条1項(a) |
取扱いの目的 | 30条1項(b) |
データ主体の類型の記述、個人データの種類の記述 | 30条1項(c) |
個人データが開示された、または開示される取得者の類型 | 30条1項(d) |
域外移転等の場合に適正な保護措置を示す文書 | 30条1項(e) |
可能な場合は、異なる種類ごとのデータの削除のために予定されている期限 | 30条1項(f) |
可能な場合は、技術的・組織的安全管理措置(GDPR32条1項)の概要 | 30条1項(g) |
処理者が記録する必要がある情報
記録する情報 | 条項 |
処理者等、代理人、データ保護オフィサー(DPO)の名前と連絡先 | 30条2項(a) |
個々の管理者の代わりに行われる取扱いの種類 | 30条2項(b) |
域外移転等の場合に適正な保護措置を示す文書 | 30条2項(c) |
可能な場合は、技術的・組織的安全管理措置(GDPR32条1項)の概要 | 30条2項(d) |
また、これらの情報以外にも、同意に関する情報、同意した事実を示す情報、同意を不要とした場合の根拠となる情報、同意を得られない状況と、その場合に利用して得られるデータ主体の利益もしくは管理者等の利益、データ主体に権利を告知した事実・告知した内容、データ主体に提供した情報などの情報についても記録・保管しておくべきとされます。
組織体制の整備、適切な技術上・組織上の措置など
その他にも、管理者は、データ主体からの要求への対応や、個人データの侵害が生じた場合に72時間以内に監督機関に通知するなどの措置をいつでも速やかに行えるよう、体制整備をしておく必要があります。
また、システムやデータへのアクセス制限をかけたり、データ入力者の制御をするなど、適切な技術上・組織上の措置をとる必要があります。
個人データが漏えいしてしまったら
72時間ルール
次に述べるような個人データ侵害が発生した場合、管b理者は、原則として、侵害に気付いた時から遅くとも72時間以内に、監督機関に対して通知しなければなりません(GDPR33条1項)。
また、処理者は、個人データ侵害に気付いた後、不当な遅滞なく、管理者に対して通知をしなければなりません(GDPR33条2項)。
個人データ侵害に該当する事態
個人データ侵害とは、偶発的なものか違法なものかを問わず、以下に該当するものをいいます(GDPR4条(12))。
- 個人データの破壊
- 個人データの喪失
- 個人データの改変
- 個人データの無権限の開示や無権限のアクセスを導くような送信や記録保存
- その他の個人データの安全性に対する侵害
監督機関への通知内容
監督機関に通知する内容は以下のとおりです(GDPR33条3項)。
- 関係するデータ主体の類型および概数、関係する個人データ記録の種類および概数、個人データ侵害の性質
- データ保護オフィサー(DPO)の名前と連絡先、または、より多くの情報を入手することのできる他の連絡先
- 個人データ侵害の結果として発生する可能性のある事態
- 起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置、または講ずるように提案された措置
データ主体に対する連絡
個人データ侵害が人の権利・自由に対する高いリスクを発生させる可能性がある場合、管理者は、データ主体に対し、不当な遅滞なく、個人データ侵害を連絡しなければなりません(GDPR34条1項)。
データ主体へは、少なくとも以下の事項を連絡しなければなりません(GDPR34条2項)。
- データ侵害の性質
- データ保護オフィサー(DPO)の名前と連絡先、または、より多くの情報を入手することのできる他の連絡先
- 個人データ侵害の結果として発生する可能性のある事態
- 起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置、または講ずるように提案された措置
データ主体への連絡が必要な場合の要件:人の権利・自由に対する高いリスクを発生させる可能性
ここでいうリスクとは、ある個人のデータが侵害された場合に、その個人にとって、身体的、物質的もしくは詐欺、金銭的損失およびレピュテーション(会社の評判)への損害をいうとされます(「規則に基づく個人データ侵害通知に関するガイドライン」Ⅳ.A.)。
そして、侵害が、人種・民族的出自や政治的意見、信教・思想上の信条、労働組合の加入を明らかにする個人データを含む場合や、遺伝子データや健康と関連するデータ、性的生活と関連するデータ、有罪判決・犯罪行為・関連する保護措置と関連するデータを含む場合には、人の権利・自由に対する高いリスクを生じる可能性が高いとされます(同Ⅳ.A.)。
最後に
グローバル化の伸展や情報通信技術の発展、個人情報の重要性の高まりが進むなか、国内企業といえども、国内法以外にも目を向けなければならなくなりつつあります。
個人情報保護法やGDPR等、個人情報保護に関して疑問等がございましたら、お気軽にお問い合わせください。