1 はじめに
EU一般データ保護規則(General Data Protection Regulation:GDPR1)が、まもなくの本年5月25日、適用が開始される。対象となる個人は、EU域内の所在者全般が含まれ、現地の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員も含まれる。また、GDPRの制裁金制度は、EU競争法の制裁金制度を基本としており、義務違反に対しては高額の制裁金が課されるリスクがある。

本稿では極簡単ではあるが、GDPRの概要を説明する。

2 適用対象
(1)個人データ
「個人データ」とは、GDPRにおいて、「識別された又は識別され得る自然人(データ主体)に関するあらゆる情報を意味する」とされている(第4条(1))。例えば、自然人の氏名、識別番号、位置データ、メールアドレス、IPアドレスなどのオンライン識別子などである。識別され得る自然人は、合理的な範囲で使用される手段をもって直接的または間接的に特定される自然人を含むとされているため、個人の特定につながりうる情報かどうかが「個人データ」に該当するかどうかを分けることになる。

(2)地理的範囲
GDPRは、EU域内の管理者又は処理者2の事業所の活動に関連してなされる個人データの処理3に適用される。

また、EU域内に拠点を持たない管理者又は処理者であっても、域内に居住するデータ主体に対して、商品やサービスの提供をする場合は、GDPRが適用される。例えば、日本本社のウェブサイトでEU域内所在者に対して、自社商品やサービスを販売する場合は、本社に対してGDPRが適用されることになる。また、EU域内に所在しているデータ主体の個人データが対象となるため、現地従業員や派遣駐在員の個人データもその対象となる。

3 処理の合法性と同意の条件
個人データの処理は、GDPR第6条に定める要件を満たす必要があるが、このうち実務上特に重要なものは、データ主体の「同意」である。

「データ主体の同意」とは、データ主体が、発言又は明らかに肯定的な行動によって彼らに関する個人データが処理されることへの同意を表現するといった、すべての自由に行われる具体的、明示的、および通知されたその人物の意思表示を意味するとされている(第4条(8))。したがって、沈黙や、あらかじめチェックマークが記入されているボックスなどでは、同意をしたものとみなすことができない4

加えて、個人データをEUの域外の第三国へ移転する場合は、格別の条件が課される。現状日本はGDPR第45条3にいう「データ保護レベルの十分性」のある国とされていないため、例えば、「十分性の決定及び適切な安全対策がないことによってデータ主体に関する当該移転から生じ得るリスクについての情報が提供された後、データ主体がその提案された移転に明示的に同意した場合(第49条1(a))」など特例に基づく場合に個人データの移転が可能になる。

4 終わりに
GDPRの違反は、ときに2,000万ユーロまたは企業の全世界年間売上高の4%という巨額の制裁をうけるおそれがあり、その施行が近いことからも、対応が急務である。特に、インターネットを介して国境をまたいだデータ移転が行われる場合や、クラウドサービスを利用する場合など、無意識的に違反を起こしてしまう可能性もあることから、今一度対応状況の把握を行っておくべきと思われる。

【注釈】
1 http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32016R0679
2 「管理者」とは、個人データの処理に関する目的、条件、手段を決定する者をいい、「処理者」とは、管理者の代わりに個人データを処理する者をいう。(第4条(7)、(8))
3 データの「処理」とは、自動的な手段であるか否かに関わらず、個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の作業をいう。(第4条(2))。例えば、個人データの取得、記録、編集、利用、周知など。
4 さらに第7条では、「同意の条件」として4つの項目が挙げられている。例えば、第2項では、「データ主体の同意が他の案件にも関係する書面において与えられている場合、その同意の要求は、明瞭かつ平易な文言を用い、理解しやすくかつ容易にアクセスし得る形で、その他の案件と明らかに区別できる方法によって明示されなければならない」とされている。

【参考】

***追記(2018年6月4日)***
【参考】を追記

※この記事は一般的な情報、執筆者個人の見解等の提供を目的とするものであり、創英国際特許法律事務所としての法的アドバイス又は公式見解ではありません。