EU(欧州連合)の新たな個人情報保護ルールである「一般データ保護規則」(GDPR)の適用まで1年足らずに迫った。違反した事業者には巨額の制裁金が科されるだけでなく、欧州市場での信頼を著しく損なう恐れもあるため対応が急がれている。テクノロジーと法の関係に詳しい慶應義塾大学の新保史生教授に、GDPRが日本企業にもたらす影響と、備えるための心得を聞いた。

違法なデータ移転には
巨額の制裁金が

 2018年5月に適用が開始されるGDPRは、これまでEUが域内で適用してきた「データ保護指令」に代わる個人情報保護の新ルールだ。

 旧ルールとの大きな違いは、適用範囲がEU域外にも広がること。日本に本社を置く企業でも、グループの現地法人がEU域内に設立されている場合や、EU域内で個人情報を収集し、日本で処理を行う場合、EU域内に個人情報を保存・処理する機器(サーバーなど)がある場合、日本からEU域内の個人に直接、商品・サービスを販売している場合などはGDPRの適用対象になると考えられる。

 GDPRが適用された場合、事業者はデータ主体(個人情報にかかわる本人)の権利を尊重し、個人情報の取り扱いに関するデータセキュリティ義務、データ処理の目的や処理・保管方法等に関する説明責任義務などを果たす必要がある。

 また、EU域内の個人情報を域外に移転することは原則として禁じられる。ただし、①移転先の国・地域が「十分性認定」(EUが個人情報保護の水準が十分と認めた国・地域)を得ている場合と、②EU監督機関の承認を得た個人情報取り扱い規範である拘束的企業準則(BCR)を採用するか、移転元と移転先の間でEUが定めた標準契約条項(SCC)に基づく標準契約を締結している場合は、例外的にEU域外へのデータ移転が認められる。ちなみに日本は現時点で「十分性認定」を受けていないので、(2)のいずれかをクリアしなければならない。

 これらの条件を満たさず個人情報をEU域外に移転させた場合や、EUがデータ管理者に求める義務を怠った場合などは、最大で違反企業の全世界における年間売上高の4%、または2000万ユーロ(約26億円)のいずれか高い額が制裁金として科せられることになる。制裁金があまりにも巨額であることに加え、適用開始が約9カ月後に迫っていることから、グローバルに事業を展開する多くの日本企業が対応を急いでいるのだ。