欧州一般データ保護規則（GDPR）の最新動向

本稿は、去る5月19日に一橋記念講堂（東京都千代田区）で開催された情報法制研究会第7回シンポジウム（主催：日本データ通信協会 情報法制研究会）において、欧州の新しい個人データ保護規則である「欧州一般データ保護規則(GDPR：General Data Protection Regulation)」の最新情報を詳しく解説した板倉陽一郎氏（ひかり総合法律事務所弁護士、理化学研究所AIP客員主管研究員）の報告内容を紹介するものである。欧州における個人情報保護の実態に詳しい板倉弁護士の解説は、日本の企業にも大きな影響があるGDPRを理解するうえで最適の教材である。

　実務家としていくつかの企業、企業グループの対応を手伝っているが、GDPRは日本経済新聞の一面で取り上げられるなどしているため、経営陣の関心が高い企業も多い。現場の方々は休日を返上して想定問答を作るなど真摯な対応をしているケースが見て取れる。本日は、前半で事業者の皆さんがGDPRに対応をするにあたって気になるであろうポイントを中心についてお話をし、後半は十分性認定の状況について説明をしたい。

１　GDPRの概要と実務的に重要なポイント

GDPRとは何か

　GDPRは欧州の新しい個人データ保護の仕組みである。EU法は憲法のレベルである一次法（Primary Legislation）と、法律のレベルである二次法（Secondary Legislation）に区分され、二次法には規則（Regulation）、指令（Directive）、決定（Decision）、勧告（Recommen dation）、意見（Opinion）が含まれる。GDPRはこの中の規則に当たる。従来、EUの個人データ保護は「指令」で律せられ、どのような法令を作るかは加盟各国に委ねられていたが、「規則」は加盟国の国内法に優先して加盟に適用され、加盟国の政府等に対して直接的な法的拘束力を及ぼすため、今後はおおむね加盟国は同じ内容の法令を執行することになる。
　GDPRはデータ保護の改革パッケージの一環である。刑事データ保護もあわせて改革が行われ、決定のレベルで行われていた取り組みが新たに「刑事データ保護指令」と「指令」に格上げされる。刑事データ以外の「一般」のデータ保護の仕組みが「規則」に格上げされることとなった。GDPRの「一般」は刑事データとの比較で「一般」というわけである。
　これまでは指令にあわせて、各国が法律を作っていたが、今後は皆で同じ規則を執行することになる。ただし、一部の条項では実施法で例外事由を定めることが各国に留保されている。

EU各国の対応状況

　GDPRは5月25日に全面適用される予定だが、直近のニュースでは5月25日に施行が間に合わない国が8カ国ほどあるようである（本報告は5月19日に行われた）。EU加盟国はデータ保護機関の権限や、課徴金の仕組みなど、国内の法律を整える必要があるが、6年前の2012年にはすでにプロポーザルが出ているにもかかわらず、立法が間に合わず施行できない国が31カ国のうち8カ国も出ているのである。したがって企業の準備が間に合わないのは、ある意味当然といえば当然とも言える。
　各国の実施法についてはどうか。欧州の主要法律事務所ですら全体状況を把握できていない状況であるが、今年の2月時点でレイサムワトキンス法律事務所が整理したところでは、成立したのはドイツ、オーストリア、スロヴァキア、ベルギーに限られている。ベルギーなど近年まれに見る大改正を行っている。またいくつもの国で、データ保護機関の名称を変更するなどの対応が進んでいる。

　国によって実施法の定め方は千差万別である。例えば、GDPR第89条2項は、「科学的又は歴史的研究目的又は統計目的」についてデータ主体の権利の除外を定めることを規定している。日本では、学術研究例外は個人情報取扱事業者としての義務がすべてかからないというドラスチックな規定をしているが、GDPRは全部の義務がはずれるわけではなく、本人の権利の一部を制限してもよいという開かれた対応になっている。ドイツでは除外するのではなく、安全管理措置を義務付けている。イギリスでは除外について承認のプロセスを設けていたり、アイルランドでは除外は認めるもののデータ最小化の原則を残したりするなど、その定め方は各国で異なる。

EUがGDPRを制定した理由

　GDPRを作ったのは何故か。従来の「データ保護指令」は1995年に施行された。当時はせいぜい「Windows95」が世に出て、日本で「テレホーダイ」が人気になっていた頃であり、インターネットの状況が全く違う。指令には本人の権利への配慮が足りていなかった。そこを強化するという狙いがある。
　他方で、今回のデータ保護改革パッケージは、「デジタル・シングル・マーケット」、「ワンストップショップ」などのビジネスの流れと密接につながっており、欧州に31の個別の法律があるのはやはり不便である。これを一つにまとめたいという要求がある。日本やアメリカなど外から見た場合にも、それはあてはまる。
　しかし実際には、先ほど説明したように、除外事由の定め方ひとつですら、国によってまったく異なるのが実情であり、日本企業の皆さんが欧州に進出する際に、実施法まで読みこなすのは一筋縄ではいかない作業となる。

GDPRが適用される範囲

　GDPRは5月25日から適用される。適用の対象は、EU構成国28カ国と欧州経済地域（EEA）のノルウェイ、リヒテンシュタイン、アイスランドを併せた31カ国である。日本が十分性認定に際して同等性を認定するのも、このEU+EEAが対象となることになっている。したがって日本の事業者から見ると、この31カ国のどこかに拠点があれば、外国にいる第三者へのデータ移転はある程度円滑になるということができる。

①適用の実態的範囲

　適用範囲については、「全部又は一部が自動的な手段による個人データの取扱いに適用される」とされ、「ファイリングシステム」の一部ではないものには適用されない。データベースの一部に入っている、もしくは入る予定のものが対象となる。ある程度広く取られる傾向はあるので、例えば散在情報である名刺の束も、名刺アプリでデータベース化される「予定」のものはこの中に入ってくる。

② 適用の地理的範囲

　地理的範囲は域外適用が大きな話題になっているが、現地に拠点がある企業の場合には、第3条1項もかなり問題になるというのが企業の相談を受けての感想である。つまり、「本規則は、EU 域内の管理者又は取扱者の事業所の活動に関連してなされる個人データの取扱いに適用される。この場合、その取扱いが EU 域内又は域外でなされるか否かについては問わない」とされており、EU域内の管理者あるいは処理者の活動に関してなされる個人情報の取扱いには適用されるので、支店の活動の一部を本店が助けているような場合には、その本店の活動にもGDPRは適用される。そこは注意が必要だ。
　日本の個人情報取扱事業者がクラウドを活用している場合も、それは日本における処理の一部であり、我が国の個人情報保護法が適用されるとされているのと解釈は同じで、EU側でも同じだと考えればよい。

③行動ターゲティングへの影響が懸念される 第3条2項⒝号

　域外適用については、皆さんすでに相当程度ご理解されているのではないかと思うが、第3条2項に「⒜ EU在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない」というものと、「⒝ EU 域内で行われるデータ主体の行動の監視に関する取扱い」の二つの号があり、後者は主として行動ターゲティング的なものが当たる。⒜号に関し、「グローバルサイトにEUの人がアクセスしてくることがあるがどうすればよいか」という問合せをしばしば受けるのだが、それらはEUを狙っているわけではないので該当しないと整理できるものがほとんどである。例えばEU域内に商品を送る通販サービスは該当するが、単なる英語のグローバルサイトが⒜号に当たるという解釈はないと思う。
　他方で、行動ターゲティングなどについては、前文を見ても意図や狙いについては記述がない。そこで、意図せずにEUの消費者に関してタグを貼り解析をしてしまったというものについても対象にする前提であるように思われる。
　これについては、EUの消費者のIPは取り除くであるとか、分析をしないで保管だけをしておくという動きが出ている。EUの消費者から見ると、こうした動きは保護が過剰すぎて、排除されすぎという気がしないでもない。EUの消費者のデータを分析しないことによって個人向けに広告がカスタマイズされないとなる程度であればよいが、事業者にとってそのサービスを提供する意味がないので提供を止めるということになると、最終的にはEUの消費者の利益にならないことになってしまう。
そうした流れになれば、市民の側から厳格な対応を批判する動きが出てくるということも可能性としてはありえるだろう。
　第3条第2項⒜号については、EU市場を狙う場合に適用されると考えて良い。⒝号については、意思的な要素が加味されていないので、偶発的にデータ主体が加わってくる場合も文言解釈上は排除することは困難であって、トレンドとしては技術的な手段で排除しているように見える。

欧州データ保護会議（EDPB）のガイドラインの重要性

　GDPR第68条で各国のデータ保護機関の集まりである「欧州データ保護会議（EDPB））」が法人格を有するようになる。従来は「29条作業部会」がガイドラインを出していたが、名称が変更されたものである。EDPBがその役割を担うことになる。日本企業もそのガイドラインを見ていく必要がある。

　これらのガイドラインの中で、事業者から見て最も気になるのが「同意」のガイドラインではないかと思う。欧州側は、同意によって個人データ移転のスキームを構築すること自体があまり望ましいことではないと考えている。とは言え、同意以外で移転を実現することが難しい場合は多々あるはずなので、その場合にはガイドラインをしっかりと理解しておくことが重要になる。
　「透明性」は日本で言うと利用目的等の通知事項に当たり、GDPRでは第13条、第14条、第15条などに該当するガイドラインである。これらについても理解をして必要な準備をしておくのがよいだろう。
　「プロファイリング」や「ポータビリティ」はこれらに比べれば実務上の優先順位は下がるだろうが、「データ保護責任者（DPO : Data Protection Officer）」を置かなければならない事業者はしっかり見ておく必要がある。
　これら9つのガイドラインについては、個人情報保護委員会が積極的に翻訳を行っており、現在のところそのうちの4つが公開されているので、参考にしていただきたい。

制裁金算定における一体性の議論とDPOの範囲の問題

　制裁金は経営者が気にする部分であり、「売上高の4%も制裁金を取られてしまうと潰れてしまう」という反応があるが、何をベースに4%を課すのかは現時点では必ずしも明らかではない。「連結売上高の4%」という報道がなされていたりするが、GDPRの前文を見ると、「ここで対象となる企業とは、TFEU の第 101 条及び第102 条に従う企業として理解されなければならない」とされている。これらは独禁法の規定であり、独禁法での解釈でなされているように経済的な一体性があれば、それが課徴金の分母になると判断するのか、それともデータ処理の一体性を基準とする別の判断をするのかは判然としない。アメリカなどの企業が欧州司法裁判所で争うことになれば、そこで判断がでることになるだろう。
　DPOをグループ会社全体で日本側に置こうとした場合、欧州側にDPOを置くと日本側でコントロールするのが難しくなり、解雇などが簡単にはできないという問題もでてくる。そこで、日本側で人を置き、欧州の子会社も含めてその人物が監督をするとなると、今度はデータの処理は日欧で一体ではないかと言われる可能性が出てくる。DPOをどの範囲で置くかは、課徴金とリンクする問題であるという認識が必要ではないかと思う。

個人データ取扱いの権利と義務（同意の取扱い）

　GDPRでは第5条、第6条で個人データ取扱いの原則を定めており、これらに基づいて処理の適法性を確保しないとそのデータは使えない。GDPRは日本の個人情報保護法と異なり、処理も移転も原則は禁止で、管理者側でその根拠の妥当性を立証する必要がある。処理をする場合には第6条のどれに当たるのか、移転をする場合には第45条から第49条のどれに当たるのかを考察し、関係するデータをマッピングしなければならない。
　例えばダイレクトマーケティングは第6条⒡号の「正当な利益（legitimate interest）」に該当すると推定されうるとしばしば言われるが、実際にはそれほど簡単ではなく、英国の情報コミッショナー事務局（ICO）が三段階テストと呼ぶもの、つまり目的のテスト、必要性のテスト、バランシングのテストなどを越えて認められるものと考える必要がある。
　ダイレクトマーケティングについては、はがきを送る、電話をかけるなどといったシンプルな業務は認められるだろうが、クッキーを介した複雑なインターネット上の行動ターゲティングもすべて第6条⒡号で読めると考えるのはリスクがある。
　現在は、事業者はクッキーを使用することを利用者に対して表示し、ボタンを押して同意をもらい、その利用を認めてもらうということをしている。そのユーザがサイトに戻ってきたことを確認するためのクッキーの利用であれば、ボタン程度でよいかもしれないが、すべてのケースで大丈夫かといえば疑問が残る。
　GDPRが施行される前にベルギーの情報保護機関がフェイスブックを相手取って「いいね」ボタン等の情報収集手段の利用に異議を唱える裁判を起こし、ブリュッセルの第一審裁判所で勝訴した。フェイスブックはきちんと同意を取って個人データを収集しなければならないという判決だが、これぐらい厳しく同意を求められるとアドテク業界には未来がないとまで言われるぐらいの話だ。
　GDPRでは、第7条で同意は本人が望めば撤回できなければならないとなっているし、従業員との同意も厳しく見られていると一般的に言われているので、同意に基づいてデータ収集を行う場合には気をつけてスキームを作る必要がある。
　なお、ダイレクトマーケティングには「ダイレクトマーケティングへの異議（第21条2項）」という特別な条項があり、処理根拠にかかわらず異議が認められる。また、日本の「要配慮個人情報」に相当する第9条、第10条の「special cathegorized data」については、さらに厳しく「明示的な同意」が必要となる。

「忘れられる権利」などデータ主体の権利

　データ主体の権利への対応に関連しては、「消去権」が議論の中でクローズアップされてきたが、条文上は従来の消去権プラスアルファぐらいで落ち着いている。同意を撤回した場合には消去を請求することができる（第17条1項⒝号）。個人データのコピー先に対しては「利用可能な技術及び実施の費用を考慮し、当該個人データを取り扱っている管理者たちにデータ主体が当該個人データのあらゆるリンク又はコピー若しくは複製の消去を要求している旨を通知するために、技術的措置を含む合理的手段をとらなければならない」（17条第2項）となっている。
　GDPRの規定とは別に、データ保護指令第12条に基づく消去の要求を行った2014年5月のグーグルスペイン事件があり、これに基づいてグーグルは欧州において検索結果削除を行っている。この資料を作成した時点での除外リクエストが約68万件、URLが約263万件で除外請求は右肩上がりで増え続けている。削除されているものには我々の知らない欧州のサイトもあるが、フェイスブック、ツイッター、ユーチューブ、グーグルグループ、インスタグラムなどが目立っている。
　ここで問題となってくるのは、世界中のデータを消さないといけないのか、それとも「google.fr」などの、各国向け検索サイトだけ消せばいいのかという点である。
　2015年にフランスが世界削除するようにグーグルに求めたが、これをグーグルは断った。グーグルは「それを認めてしまうと、非民主的な国家が、情報を統制するための自国の法律を、国際的に認めるように要求し始めるだろう」と懸念を表明し、フランスの行政最高裁判所であるコンセイユ・デタに上告をした。コンセイユ・デタは2017年7月に欧州司法裁判所に命令が可能か判断を求め、この情報が最近、欧州司法裁判所のWebサイトに掲載されている。域外の削除を求めることができるのか、課題として残っているので注目をしていてもらえればと思う。

データ管理者、データ処理者の義務で重要なのは取扱い活動の記録

　義務の中でもっとも重要なのは第30条の「取扱い活動の記録」である。事業者は、自社で行っている個人データの取り扱いをマッピングして把握しなければいけない。このデータの棚卸しはたいへんだが、GDPRに対応するためには不可欠である。事業者の皆さんには、マイナンバーに関連して「第三者提供時の確認・記録義務」への対応をやっていただいたと思うが、それと同様である。全部署でEUに関係する情報にどのようなものがあるのかを把握し、この記録の前提となる記録帳票を作るのがGDPR対応の始まりということになる。

データ保護オフィサー（DPO）設置の必要性

　データ保護オフィサー（DPO : Data Protection Officer）は、「管理者又は処理者の中心的業務が、その性質、適用範囲及び/又は目的によって、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合」（第37条1項⒝号）に設置しなければならないとされている。さらに「管理者又は処理者の中心的業務が、第9条で言及された特別な種類のデータ及び第10条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合」（第37条1項⒞号）とも規定されている。ただし、後者は医療情報などを取り扱う場合でない限りはあまり該当するケースはないと思う。
　さらに第37条4項で、国内法で要求している場合にはDPOを置かなければならないとされており、ドイツではこれが義務付けられているため、ドイツに拠点がある企業はデータ保護オフィサーを置く必要がある。英国は、BREXITによって将来的にはGDPRはかかってこなくなるが、今の法案では設置義務があるという風に読める。他国について少し調べるてみるとルクセンブルクはないが、ポーランドはあるのではないかと考えられる。実施法については複雑なので、現地に大きな拠点がある場合には、その国の弁護士に確かめるのがよいと思う。

２　EUによる日本の十分性認定と日本側の動き

十分性認定

　EUからは、原則的に十分性認定を受けた国にしか個人データを移転できないことが第45条で定められている。さらに第46条で、「標準契約条項（SCC）」や「拘束的企業準則（BCR）」による移転が認められており、それらでは間に合わない場合には第49条の「同意その他の個別的な方法」で対応することになる。米国の「プライバシーシールド」も、この十分性の枠組みになっている。十分性認定は、まだそれほど多くの国で認められているわけではない。
　十分な保護措置というのは、米国の「セーフハーバー」が無効になった「マクシミリアン・シュレムス対アイルランド・データプライバシーコミッショナー」の判決の中で判断がなされている。欧州連合基本憲章第7条、8条、第47条の観点からみて、EUの指令で保証されている保護のレベルと実質的に同等である必要があるとされた。

例外事由による移転

　企業の皆さんは「標準契約条項（SCC : Standard contractual clauses）」を使って移転の準備をしている場合が多いと思うが、SCCの準拠法は「データ輸出国（Data Exporter））」という表現になっているので、SCCデータ輸出国の法律で解釈をしなければならない。例えば英国とSCCを結ぶとすると、その準拠法は英国法となり、理論的には英国の契約法を読みチェックをする必要がある。取引先があちこちにある場合、あるいはそれが会社にとって非常に重要性が高い行為であると考えられる場合には、その委任状の代理権授与行為で大丈夫かについて現地で専門家に依頼して調べたほうが良いとは思うし、EU側の提出先はドイツ、フランス、アイルランドなど何かあった場合に法律を調べやすい国にしておくほうが企業の負担は少ないだろう。
　一方、「拘束的企業準則」（BCR : Binding Corporate Rules）の利用状況だが、楽天㈱がルクセンブルクに申請をしてすでに認められている。また、㈱インターネット・イニシアティブは英国に申請し、富士通㈱もオランダに出したようだ。

日本側のガイドライン

　十分性認定に基づいて移転をされた場合には、日本法に基づいてそのデータを取り扱えばいいはずだが、そこに上乗せで守るよう要請されるのが、平成30年5月25日までパブリックコメントにかかったガイドライン、「個人情報の保護に関する法律についてのガイドライン（EU域内から十分性認定により移転を受けた個人データの取扱い編）」である。

　十分性認定に基づいて移転させる場合には、原則的に欧州と同等だということになるので、GDPR上の義務はなくなるはずである。しかし、昨年の12月にEUと日本の双方は法改正をしないで相互認証をしていくことを合意しており、その結果EUから持ち込まれるデータだけ普通の個人データよりも義務を上乗せして守る仕組みを日本側が定めるという妥結をしたように見える。その結果としてのガイドラインである。
　その項目には5項目があり、要配慮個人情報の項目を増やす、保有個人データの6ヶ月をはずす、元の利用目的の範囲内で移転先でも利用目的を定めなければならない、利用目的の記録、外国にある第三者の同意を取る際にインフォームドコンセントを確実にする、匿名加工情報との関係で仮IDを付けた匿名加工情報は認めない、という5つである。
　法技術的には、要配慮個人情報が何かについては政令で定めることになっているので、ガイドラインで拡張はできない。ガイドラインの内容をどのように執行するのかという問題がある。何かの条文に引っ掛けて執行するんだと今のところは考えざるを得ないが、行政裁量は非常に広いのでできないことはないと思う。
　日本側でもEUの同等性を認定しないと相互認定にならないが、これについては個人情報保護委員会で準備が進んでいる。改正する規則が平成30年個人情報委員会規則第1号として5月9日に施行されており、個人情報の保護に関する法律施行規則の一部を改正し、新たな第11条を加えて、旧11条を11条の2とし、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」を個人情報保護法第24条の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会が定めるとしている。日本によるEUの同等性認定は、すぐにでもできるように準備がなされている。
　マーケティングの関係ではe-プライバシー規則案の行方が気になるところだが、あと1、2年必要となるのではないかという欧州の専門家の声がある。条文案のテキストはしばしば変更されているので、受身で対応をするのであればしばらく様子を見るということになるだろう。