Embed Size (px)
Citation preview
J-CAST会社ウォッチ「しごとの学校」会社ウォッチ「しごとの学校」Report || 2018.11.5
GDPRセミナーセミナー (1)
牧野弁護士による講義牧野弁護士による講義 2018.8.24
1. GDPRとは?とは?
General Data Protection Regulation
一般データ保護規則一般データ保護規則((REGULATION)であること)であること GDPRとは「General Data Protection Regulation」、最後の「Regulation」というのは規則です。
GDPRに似た「EUデータ保護指令」というのがもともと欧州にはあり、1995年に施行されて、
2018年の5月まで適用されていました。
1995年というとインターネットがほとんど普及しておらず、欧州内でのインターネットユー
ザーが約1%だった時代です。それが最近まで運用されていたのですが、EU(欧州連合)各国に
直接強制力を持つものではなく、この指令に基づいて、各国で、日本でいう個人情報保護法のよ
うな国法を制定し、それによって初めて国内で拘束力を持つ法律ができるという作りになってい
ました。この保護指令の下で各国がそれぞれの法律を定め、個人情報についての法制を敷いてい
たということになります。しかし、インターネットの普及により、個人データの利用が大きな問
題になってきました。
インターネットの普及で個人情報保護規制に変化が……(牧野剛弁護士)
1
GDPRが規則であるとはどういうことかというと、EUの加盟国内法を経由せずに適用されると
いう強力なものです。この背景には、先ほど言ったように今ではほとんどの人がインターネット
を使う状況になったことによって、個人データが大量かつ瞬時に、容易に集中することとなり、
「これは個人データを保護しなければならない」ということで、「Regulation」という強い法律
になったのです。
GDPRの特徴の特徴 そのその1
EUの法律なのに、の法律なのに、EU以外の国にも適用がある以外の国にも適用がある 次にGDPRの特徴についてお話ししたいと思います。まずその1として、EU以外の国にも適用
があり、日本にも適用されるということがあります。どういう場合に日本にいる我々にも適用さ
れるのかは、あとで説明したいと思います。
GDPRの特徴の特徴 そのその2
本人の同意を取らないと基本的に個人データを取り扱えない本人の同意を取らないと基本的に個人データを取り扱えない 本人の同意を取らないと個人データを取り扱えないというのが基本です 本人の同意を取らないと個人データを取り扱えないというのが基本です。
たとえば、本人から直接取っていない情報についてはどうなるのかというと、GDPRの14条に
規定があり、本人から取得していない個人データを取得した場合は、本人に情報提供する義務が
課されています。要は、私がAさんの情報をもらった時に、Aさん本人からもらってない場合は、
Aさんに「あなたの情報をもらいましたよ、こういうことに使いますよ」という情報を提供しな
くてはいけません。これは非常に厳しいと思われます。
同意を得て取得した個人データについて、同意はいつでも撤回できるというのが原則です。で
すから「さっきあなたに情報提供したかもしれないけれど、それは使わないでください」という
ことも一応できる。これは情報を持っている人にとっては大変面倒くさいというか、厳しい規制
ですよね。このように、データ主体のコントロールがものすごく重要になってくるというのが
GDPRの特徴です。
GDPRの特徴の特徴 そのその3
厳格な規制厳格な規制 GDPRは先ほども述べたように厳格な規制で、対象となる個人データの範囲も広いです。日本
の個人情報保護法が対象としているのは「個人情報」ですが、GDPRは「個人データ」を対象に
しています。「個人情報」と「個人データ」というのは、じつは違いがあるのですが、それは後
で説明します。
2
個人情報が漏えいした際の対応の仕方についても規定があり、漏えいがわかった時から漏えいがわかった時から72時間時間
以内に報告しなければいけない以内に報告しなければいけないという義務が付与されています。
データ主体、いわゆる個人情報の本人と言われる人たちの権利が強く、同意は撤回することが
できます。また、「忘れられる権利」というのは聞いたことがある人も多いかと思いますが、そ
ういった権利も認められています。つまり規制としては、日本の個人情報保護法よりも強い規制としては、日本の個人情報保護法よりも強いとい
うふうに認識していただければと思います。
GDPRの特徴の特徴 そのその4
制裁金がある制裁金がある 4つめの特徴は、話題になっているところではないかと思います。たとえば、漏えいがあった
時に、漏えい報告を怠ったり本人への通知を欠いたりした場合については1000万ユーロ、もしく
は前会計年度の全世界年間売上高の2%までのどちらか高いほう。開示請求対応、あるいは第三
国移転規範等に違反した場合は2000万ユーロ、日本円にすると25億7000万円だそうですが、こう
いった莫大な制裁金が課せられる莫大な制裁金が課せられる可能性があります。
これに恐れおののいている方が結構いて、企業様のお問い合わせが多くなっているのが実情で
す。
22. GDPRの対象は?の対象は?
あなたの企業はあなたの企業はGDPRに対応する必要があるのでしょうか?に対応する必要があるのでしょうか?
スマホでチェックスマホでチェック では、GDPRの対象になるのはどこなのか? という疑問が湧いてくるのではないかと思いま
す。お手持ちのスマートフォンを見てください。あなたの企業はGDPRに対応する必要があるの
かどうか、簡単にチェックしたいと思います。オール優というジェイ・キャストのプログラムを
使って答えて頂きますが、「適用」という場面が出た場合はGDPRが間違いなく適用される人で
す。「適用」がひとつでも出た場合は、もはやGDPRは適用されるということになります。
「チェックポイント」が出た場合は、このチェックポイントにおいては適用されないというこ
とになりそうです。しかし、厳密には適用されないとは言いきれません。
3
このチェックテストは基本的には越境データ、つまりEUから日本に個人データが来る場合の規制
を想定したチェックテストになっています。
しかし、その場合以外にもGDPRが適用される場面はあります。
GDPRの対象は?の対象は?
GDPRの対象は「個人データ(personal data)」になります。個人データとは何かというと、皆さ
んのスマホの表示でも同じですが、識別された自然人または識別可能な自然人識別された自然人または識別可能な自然人(「データ主
体」)に関する情報を意味します。これは日本法とは異なる規定になっており、ここにオンライオンライ
ン識別子や位置データン識別子や位置データが入ってきます。
「個人データ」と「個人情報」の違い「個人データ」と「個人情報」の違い
「個人データ」と「個人情報」の違いについて説明したいと思います。「個人データ」は「個人データ」は
GDPRの対象になり、「個人情報」は個人情報保護法の対象の対象になり、「個人情報」は個人情報保護法の対象になります。日本法の個人情報につ
いては、個人情報保護法2条1項に記載されています。簡単に説明すると生存する個人に関する情
報であって、特定の個人を識別できるものを言います。生存する個人に関する情報であること、
法人などではなく個人に関する情報であること、特定の個人を識別できるものという3要件が必
要であるとされています。
GDPRとどこが違うかというと、GDPRの場合は、直接または間接的に識別されれば、もうそれ
はGDPRの対象の「個人データ」なのです。
一方、個人情報保護法を見ると、識別することができるものは他の情報と容易に照合すること
ができるものです。「個人データ」についてはオンライン識別子を参照することによって、直接
または間接的に識別できれば、それはもう「個人データ」になります。
日本の法律ではCookie情報は、Cookie単体では個人が識別できないという考えに基づいて、個
4
人情報には当たらないという場合が多いです。IPアドレスについても同じです。しかしGDPRのの
「個人データ」というのは、「個人データ」というのは、IPアドレス、アドレス、Cookie情報についても「個人データ」に当たる情報についても「個人データ」に当たるという
ふうに考えます。つまり規制の対象となる範囲が広い。ということは、規制はより厳しいという
ことを意味します。
GDPRが適用される範囲は?が適用される範囲は?
そのその1((EU域内に拠点がある)域内に拠点がある) 次に、皆さんが一番気にしている点です。GDPRが適用される範囲は、当然GDPRに記載されて
います。これから3パターンお話ししますが、この3パターンさえ覚えていただければ、会社で
GDPRに関して自慢げに話すことができると思います。
まず、その1です。GDPRの3条に「個人データの取り扱いが、EU域内で行われるかを問わず、
EU域内の管理者または処理者の拠点の活動の過程における個人データの取り扱いに適用される」
とあります。要は、EU域内に管理者、処理者の拠点がある場合は適用されるということです。
では、管理者、処理者とは何でしょう。管理者(Controller)というのは、日本法でいうところ
の個人情報取扱事業者です。個人情報を保有する、個人情報取扱事業者ですね。皆さんの企業も
これに当たるということです。
処理者(Processer)とは、個人情報の委託先事業者、要は下請け事業者です。英語では
Processer、フランス語に訳すとSoustraitantと言って、下請け事業者ということなのです。あまり
難しく考えず、個人情報を保有する個人情報取扱事業者と個人情報の委託先事業者だというふう
に覚えておいてください。「EU域内に管理者、処理者の拠点がある場合は適用される」という原
則が、まずあります。
GDPRが適用される範囲は?が適用される範囲は?
そのその2((EU域内に拠点がない)域内に拠点がない) 次に、EU域内に拠点がない場合。おそらく日本企業の皆さんはこのケースが多いのではないか
と思います。GDPRの3条2項には、「以下の場合、GDPRはEU域内に拠点のない管理者または処理
者によるEU域内のデータ主体の個人データの取り扱いに適用される」というふうに規定されてお
り、aの場合、bの場合と書いてあります。
EU域内に拠点がないのに、なぜ適用されるの? という素朴な疑問につながると思いますが、
「EU域内のデータ主体」とは、そもそもどういう意味なのか。EU域内のデータ主体というの
は、GDPR英語版では「who are in the Union」です。個人情報保護委員会からの全訳が載っていま
5
すが、その前に出回った仮訳には「在住する人」と書いてありました。それは明らかな間違いで
す。
「EU域内に所在する人の情報」ということです。どういうことかというと、日本にいるEU在
住の人、例えば旅行で日本に来ましたという時には、その人の個人情報についてGDPRは特段規
制してないのです。その点に注意していただければと思います。要は、「EU域内に所在する人」
の情報を取り扱うときに問題になります。
((a))EU域内のデータ主体に対する物品またはサービスの提供をする場合域内のデータ主体に対する物品またはサービスの提供をする場合
「EU域内のデータ主体に対する物品またはサービスの提供する場合」には適用があります。
「物品またはサービスの提供をする場合」とは、GDPRの前文23項に「EU域内のデータ主体を対
象としているかは、物品、役務を提供する意思があるかに関わり、EUの構成国で一般に使われて
いる言語を使用して、その言語でデータ主体が注文できる場合、さらに通貨が使用されている場
合、またEU内データ主体に関する言及がある場合」に当たる可能性が高いと書かれています。要
は英語を使っている場合や通貨がユーロであった場合は、EUのデータ主体に対して、物品やサー
ビスを提供する意思がある場合にあたるのではないかということですね。ただ、「当たる可能性
が高い」という表現からわかるように、断言しているわけではなく、aに当たる可能性が高いの
ではないかと書かれています。典型的な例だとEUの人が物品を購入できる場合はaに当たる、す
なわち日本の事業であってもGDPRの適用があるということです。
((b)データ主体の行動が)データ主体の行動がEU域内で行われるものである限り、その行動を監視(域内で行われるものである限り、その行動を監視(
monitoring)する場合)する場合
次にbは、データ主体の行動がEU域内で行われるものである限り、その行動を監視する場合。
典型的なのはCookieやSNSのプラグインを通じたウェブでの追跡です。あともう1つ注意すべきな
のは、従業員情報などもモニタリングに当たる可能性が多分にあります。監視カメラによるモニ
タリングをしている場合は、まさに当たってしまいます。
6
GDPRが適用される範囲は?が適用される範囲は?
そのその3((EUの個人情報が現在の日本に移転される場合)の個人情報が現在の日本に移転される場合)
その3は越境移転についてです。EU域内の個人データを、今の日本を含めて第三国へ移転させる
ことは原則禁止されています。今の日本はデータ保護のレベルがEUほど高くないため、データ保
護のレベルを保障する手当てが必要だという考え方です。
【現在の日本へ【現在の日本へEUの個人データを移転するためには?】の個人データを移転するためには?】
しかし、日本へEUの個人データを移転するためには条件があり、GDPRに規定されています。3パ
ターンあると認識していただければと思いますが、1つめはBCRです。拘束的企業準則ですので、
企業グループで1つの規定を策定しデータ移転元の管轄監督機関が承認するというものです。こ
れについては現在、私が認識している限りIIJと楽天が行っています。次にSCC(standard contractual
clauses=標準契約条項)を締結すると移転できます。
ただ注意が必要で、GDPRの施行された5月25日以降はSDPC(Standard Data Protection Clauses=標
準データ保護条項。GDPRによって採択され、SCCに代わる条項)という契約を締結する必要があ
るのですが、その書式がいまだに欧州委員会から発表されていません。SCCの書式は公表されて
いるので、そのまま使えばいいんですけれども、SDPCは私のほうで確認できていない。じゃあど
うやって契約するんだという話がでてくるんだとは思うんですけど、現在はSDPCが公表されてい
ないからSCCを締結するしかないという状況です。
3つめに、明確な本人同意がある場合は、明確な本人同意がある場合は、EUから日本に個人情報を転移してもいいから日本に個人情報を転移してもいいということが
あります。
2018年秋、「その年秋、「その3」の手続は不要になります」の手続は不要になります (※不要になるのは(※不要になるのは2018年末以降になりそうです)年末以降になりそうです)
今説明した3つのパターンの手続きは今後、不要になります。欧州委員会が日本を「十分性認
定」することが決定されました。「十分性認定」とは十分な個人データの保護の保障というふう
に条文上は読みます。欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障
していることを決定するということです。要は、先ほど第三国はEUほど個人情報保護のレベルが
高くないという話をしましたが、そのレベルに達しましたという決定が「十分性認定」です。
(個人情報保護委員会の熊澤春陽委員、ベラ・ヨウロバー欧州委員会委員による共同プレス・ス(個人情報保護委員会の熊澤春陽委員、ベラ・ヨウロバー欧州委員会委員による共同プレス・ス
7
テートメント 東京、テートメント 東京、2018年年7月月17日)日)
これは個人情報保護委員会のプレスリリースです。「お互いの個人データ保護の制度が同等で
あると認識するための議論を成功裏に終了した。相互に十分性を見出すことを通じて、高いレベ
ルの個人データの保護に基づき、データが安全に流通する世界最大の地域が創出される」。「両
者は2018年の秋までに日EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必
要とされる関連国内手続を完了させることにコミットする」と書かれています。ここでは十分性
認定という言葉は使っていませんが、個人情報保護法の改正法が5月に施行されましたが、なぜ
改正されたのかというと、基本的にはEUから十分性認定を得るためです。
個人情報保護法の改正 個人情報保護法の改正 2017年年5月に施行月に施行 2018年4月、個人情報保護委員会が「個人情報保護に関する法律についてのガイドライン(EU
域内から十分性認定により移転を受けた個人情報の取扱い編)」のパブリックコメントを開始し
ました。これはもう5月に終わっています。ということは、個人情報保護委員会は、改正法の策
定時点から十分性認定を視野に入れていたということです。要はGDPRに合わせた日本国内の法
制を随分前から整えていたということなのですね。この2018年に十分性認定がなされる見通しで
す。
【十分性認定で何が変わるか 十分性認定 【十分性認定で何が変わるか 十分性認定 Before/After】】
では十分性認定で何が変わるのかというところが皆さんの関心事だと思います。これについて述
べている情報がないということなので説明したいと思いますが、要は「その3」の越境において
の手続きが不要になるというのが最大のポイントです。要はBCRやSCC、明確な本人同意を得る手
続きが不要になるということです。ただし「その1」「その2」は変わらないということに注意が
必要です。
8
十分性認定で何が変わるのか!?
EU「十分性認定」以降「十分性認定」以降 EUの十分性認定以降どうなりますか?ということに対しては、個人情報保護法はGDPRに合わ
せて改正されていますので、日本国内の活動に終始するような場合は、これを守ればほぼ問題は
ありません。またEUから情報を取得する場合においても、個人情報保護委員会が近々公表するガ
イドラインを守っていれば、多くの場合は問題ないと思います。
(注)個人情報保護委員会はすでに「補完的ルール」を公表しました。
3..GDPRと個人情報保護法の違いは?と個人情報保護法の違いは?
規制が異なる場合はどうすればよいか?主な違い規制が異なる場合はどうすればよいか?主な違い
しかし、若干問題が生じる場合があります。GDPRと現在の個人情報保護法では、根本的に違
いがあるため、その違いはどうすればいいのかという話をしたいと思います。主な違いは以下の
ような部分です。
● 個人データの範囲が広い個人データの範囲が広い:まず個人データの範囲が広いことがあります。
● 同意の撤回が自由であること同意の撤回が自由であること:先ほど申し上げた通り同意の撤回はいつでもできます。
● 同意は明確でなければならないし、同意を証明できなければいけない同意は明確でなければならないし、同意を証明できなければいけない:日本だと黙示の同意
というのがありますが、それはGDPRでは認められません。
9
● 第三者提供は原則できない第三者提供は原則できない:日本では一定の場合、オプトアウトについて規定されています
が、オプトアウトという方式で本人の承諾を得ずに第三者に個人情報を移転できる場合があ
ります。しかし、そういう仕組みがGDPRに、そもそもないのですね。要は原則として、本人
の同意がなければ、まったく動かしてはダメですよ、というものがGDPRです。
● 個人データの取扱いの記録義務個人データの取扱いの記録義務:日本では第三者提供の場面での記録義務はあるのですが、
取り扱いの記録についての義務が課せられています。
● 漏えいがあった場合は、漏えいがあった場合は、72時間以内に監督機関に届けなければいけない時間以内に監督機関に届けなければいけない:日本の場合は個人
情報保護委員会に報告するのが努力義務になっていることに加えて、時間制限がありませ
ん。しかしGDPRは72時間以内に監督機関に届けることが法的な義務となっています。要は日
本の個人情報保護法は‘できればやってね’という感じですが、GDPRは‘やらなければいけない’
という規定になっているわけです。
● 制裁金がある制裁金がある:これも大きな違いです。日本の個人情報保護法には制裁金の規定はありませ
ん。
【【GDPR】】
個人情報保護委員会がこういったGDPRに関するセミナーをやっており、その時に配布された資
料の1ページです。GDPRと個人情報保護法の(事業者の義務の)違いについて一覧化したもので
す。丸は私がつけたのですが、結構違いがあります。データ取扱いの記録義務については全ての
取扱いが対象なのに比べて、日本の個人情報保護法では第三者提供時のみ対象となっています。
データ漏えい時の監督当局への通知義務も、個人情報保護法では努力義務で時間制限の規定がな
いのに対し、GDPRでは72時間以内に通知する義務があるのが多分一番大きい違いなのかなと思
います。
10
規制が違うのに規制が違うのにGDPRが適用されると思われる場合が適用されると思われる場合
→→GDPRに合わせるしかないに合わせるしかない 先ほど申し上げた個人情報保護委員会が今年の4月に「個人情報保護に関する法律についての
ガイドライン」のパブリックコメントを開始したと述べましたが、そこでは例えばセンシティブ
データやアクセス権について一部手当がなされていますが、この丸がついたところは特に手当が
されていないのです。そうすると、規制が違うのにGDPRが適用されると思われる場合というの
は、そもそも個人情報と個人データが違うということも大きな違いですが、GDPRが適用される
可能性がある場合は、もう厳しいGDPRに合わせるしかないということになると思われます。
十分性認定以降の十分性認定以降のGDPR適用判断適用判断 十分性認定がされて以降もGDPRが適用されるのか?という話です。先ほどの「その1」と「そ
の2」を合体させた図がこちらです。今年の秋の十分性認定後、個人情報の取扱いに関してGDPR
適用されるかどうかというのは、この図を基に判断していけば、問題ないと思います。YESに
なった場合はGDPR適用されるので、対応する必要があります。
ただ、契約を締結してGDPRに従う旨の合意がある場合は、GDPRを遵守する契約上の義務が生
じますので気を付けてください。
11
GDPR対応の体制整備のポイント対応の体制整備のポイント GDPRに対応しなくてはいけないとなった時にはどういう体制整備をすれば良いのか。ポイン
トを挙げます。
● 社内でのEU域内での個人データの洗い出し:EU域内の個人データが自社にどれだけあるのか
洗い出します。
● EU域内データに関する処理原則、保護手続きを明確化:EU域内データに関してどういった処
理・手続きをするのかということを明確にする必要があります。例えばどうやって72時間以
内に誰に報告するのかというのを決めなければなりません。
● 安全管理措置の点検:これは日本の個人情報保護法と全く一緒ですが、安全管理措置もきち
んとしなければいけないし、その点検もしなくてはいけません。
● 記録確保の体制整備
● 漏えい対策の明確化、侵害通告の手続き手順の明確化:情報漏えいかどうかを見極める機関
を設ける必要があります。
● 代理人、データ保護オフィサー(DPO)の必要性の検討:場合によっては代理人、データ保護
オフィサーが必要かどうかも検討してください。
大雑把ではありますが、以上のような検討が最低限必要になります。
4..GDPRの動向についての動向について
どのように影響が出ているか?どのように影響が出ているか?
大きな影響が出ているが、大きな影響が出ているが、EUでもでもGDPRが順守されていないが順守されていない
実情が報じられている実情が報じられている GDPRについて、どのように影響が出ているのか。うちの会社は関係ないよと思っている企業
の方もいらっしゃるかもしれませんが、実は世界は大きく動いていますので、いずれ影響が出る
と思われます。ただEUでも、守っていないではないかという指摘が沢山出ています。ヨーロッパ
の消費者団体(BEUC)がプライバシーポリシーを調査したところ、GoogleやAmazonといったオ
ンライン企業のプライバシーポリシーがGDPRに準拠していなかったという指摘も出ています。
要は「GDPRを守れていない」というのは日本の企業だけでなく、EUでもそういった指摘は出て
いるのです。
12
「正当な利益」で同意取得から免れられる?「正当な利益」で同意取得から免れられる? 最近「正当な利益」というのが流行っていて、聞いたことがある方もいらっしゃると思いま
す。日経産業新聞に「正当な利益を根拠にする場合は個人にその旨を通知する情報通知義務を果
たせばいいため、同意の条件を満たすよりは格段に負担が小さい。企業が正当な利益を主張して
も、規制当局が認めるか不透明な部分があるが、逆にいえば正当な利益という方法を用意して
GDPRは企業に現実的な選択肢を残したとも言える」という記事が載りました。先ほど述べたよ
うに個人データの取扱いにはデータ主体の同意が常に必要というのが原則です。でも正当な利益
があればOKなのではないですかというのが日経産業新聞の記事ですが、私は少しとんでもない
記事だと思っています。
「正当な利益」はデータ主体の権利が優先される場合には適用不可「正当な利益」はデータ主体の権利が優先される場合には適用不可 「正当な利益」はデータ主体の権利が優先される場合には適用できないと書いてありますし、
取扱いの適法性、取扱うにあたってそれが適法になる条件というのをGDPRは6条に規定していま
す。
どういった場合に適法になるかというと、「データ主体の同意がある場合」「管理者が法的義
務を遵守するため」「データ主体の生命に関する利益を保護するため」「正当な利益のため」と
いうふうに、おおむね4パターンに分けて規定しています。ただ「『正当な利益』はそんな都合
のいいものではないでしょう」ということが、この4つを見れば自ずと明らかではないでしょう
か。データ主体の生命に関する利益を保護するために本人の同意を要することまではできないよ
ねというのが3つめです。
13
では、企業が個人データを取り扱うにあたって「正当な利益」のためというのは、「データ主
体も当然そういう取り扱いを望んでいる」とか、そういう場合でないと無理です。たとえば「正
当な利益」のためということで、EUで裁判になったケースでは、交通事故に遭った人の民事訴訟
を提起する際、個人データを入手したいといった場合に「正当な利益」があると認められた事例
がありました。
「負担が小さい」が「正当な利益」にあたるわけがない「負担が小さい」が「正当な利益」にあたるわけがない つまり、管理者の負担が小さいから正当な利益が認められるというわけはないのです。日経産
業新聞はこの記事の中で具体的なある人材系の会社名を挙げ、マーケティングを送信する場合、
「正当な利益」として取り扱えるような規定を置いてGDPR対応していると理解しています。
「正当な利益」にあたるはずがないのに正当な利益ですよと言っている企業を、日経産業新聞が
紹介してしまっている。これはGDPR違反の疑いが濃厚と考えられます。
「「GDPR対応」ではない対応」ではないGDPR対応が横行対応が横行 日本でGDPR対応できている企業は極めて少ないと思われます。裏を返すと、EUと取引がある
企業さんは、GDPR対応がしっかりしていれば、会社の信用性が高まるという面もあると思いま
す。そういう意味では、GDPR対応が大きなチャンスになると言えると思います。
GDPRは日本の個人情報保護法制を先取りしているは日本の個人情報保護法制を先取りしている 思い出していただきたいのは、GDPRは日本の個人情報保護法を先取りしているということで
す。先ほども言いましたが、日本の個人情報保護法はEUに合わせるために改正されました。とい
うことは、これからはオプトインの時代、要はデータ主体の同意がないと個人情報を取り扱うの
はまずいのではないかという時代になるということです。
たとえたとえGDPRの適用がなくても、の適用がなくても、GDPRを意識した体制整備をを意識した体制整備を 「GDPR、うちは関係ないわ」という意見はあるとは思います。ただGDPRが日本の個人情報保
護法制を先取りしているとすれば、そのうち皆さんもGDPRに準じた個人情報の扱いをしなくて
はいけない時代が来ることは確実ですので、GDPRを意識した会社の体制整備をされた方がいい
のではないかと思います。
以上です。
14
GDPRセミナーセミナー 牧野剛弁護士による質疑応答牧野剛弁護士による質疑応答
牧野:牧野:事前に2つほど質問を頂きましたので、そちらに回答させていただきます。
非常に難問でした。
サービス提供を前提とした名刺交換は、サービス提供を前提とした名刺交換は、GDPRの適用可能性があるの適用可能性がある
質問質問1
EEAにおいて名刺交換をする場合、そのことについてにおいて名刺交換をする場合、そのことについてGDPRの適用はあるのでしょうか。またの適用はあるのでしょうか。また
適用がある場合にはどのような対応をすればよいでしょうか適用がある場合にはどのような対応をすればよいでしょうか
名刺を受け取った場合、名刺に書いてあるものは当然個人データ名刺に書いてあるものは当然個人データにあたります。これを日本に
持ち帰ったらどうなのかという場合について考えてみたいと思います。
まず理屈としては個人データの越境移転にあたると考えられます。要はその越境移転。先ほど
述べた「その3」ですね。
越境移転というのは、個人データが日本に移転すれば、すべからくその3つの手続きをとらな
ければいけないと書いてあるのです。言ってみれば。本人の明確な同意と、BCRとSCC。この3パ
ターンをとらなくちゃいけないということになります。
では、明確な同意をとれればいいのではないかという風に考えると思うのですが、これが結
構・・明確な同意とは、「まあ分かっているからいいよね」というレベルだとすると、明確では
ないですね。名刺交換するときに同意書を取ったりしますか?という話です。明確な同意ってい
うのは中々難しい。
その名刺の個人データを何に使うのかにもよると思うのです。ただ単に連絡をとる場合である
と、「連絡をとるために名刺交換したんですよね」といえると思います。名刺を取得した日を
ちゃんと書いておくとか、あとで立証できるようにしておくということが考えられます。
これは越境移転ではちょっと難しい問題です。ちなみに、JETRO(日本貿易振興機構)から、
同じ質問に対する回答が書かれていました。そこになんて書いてあったかというと、まず名刺
に、こちらから商品等の情報を提供することがありますと書いてくださいということが書いてあ
りました。どういうことかというと、連絡するためだったら、名刺交換したときにわかるのだろ
うが、そのー商品の紹介まで同意しているかというと微妙な場合もあるので、とりあえずその
15
事、その旨を書いておいたほうがいいのではないかという話なのです。でも、名刺にそんなこと
書きますか?というのがちょっと現実的でないという話もあるのですが・・そういう意味では越
境移転という点では難しいです。
ただ、越境移転の問題というのは十分性認定以降には問題になりません越境移転の問題というのは十分性認定以降には問題になりません。十分性認定後に
GDPRの適用があるのかという点は、EUに管理者の拠点がある場合、物品の提供、サービスを提
供する場合、モニタリングする場合に限られるということは先ほどお話したとおりです。
ですから、こういった場合にあたるかどうかを個別に判断していくしかない個別に判断していくしかないのかなと思います。
通常の名刺交換であれば、サービスを目的とした個人情報の取得ではないと思われますので、
GDPR適用ということはあまり考えなくていいと思います。ただ、サービスの提供を前提に名刺サービスの提供を前提に名刺
を交換してしまう、その個人データを取り扱ってしまうと、を交換してしまう、その個人データを取り扱ってしまうと、GDPRの適用がある可能性はありまの適用がある可能性はありま
すす。こういうことが第1問の答えになると思います。
「サーバーも拠点になる」と考えたほうがいいかも「サーバーも拠点になる」と考えたほうがいいかも
質問質問2
2つ目の質問は、クラウド事業者は対象なのかどうか、どのような対応が必須なのかというつ目の質問は、クラウド事業者は対象なのかどうか、どのような対応が必須なのかという
ことです。これもちょっと難しいですが、クラウドサービスによって個人データがことです。これもちょっと難しいですが、クラウドサービスによって個人データがEUから日から日
本に移転するということを想定してお答えしたいと思います。本に移転するということを想定してお答えしたいと思います。
まず、ひとつ目は越境移転にあたるかという問題が、先ほどと同じように出てきます。そうす
ると、EUのクラウド事業者が日本国に、日本国の事業者にクラウドサービスを、日本国のユー
ザーに提供する場合、越境移転に該当すると考えられます。ですから、越境移転の規定は適用さ
れます。先ほどの明確な同意、SCC、BCRです。ちなみに、これは欧州委員会のワーキンググルー
プの公式見解です。
ただ、何度もお話ししますが、2018年の秋に十分性認定がされることになります。そうする
と、GDPRが適用される場合というのは、EU域内に拠点がある管理者、処理者といえるか、ある
いはEU域内のデータ主体に対する物品またはサービスの提供にあたるかというのを、そのクラウ
ドサービスのサービス内容によって判断するしかないのではないかなというふうに思います。
一つ論点としてあるのは、EU域内にサーバーだけがある場合について、そういう場合があるの
かよくわかりませんが、EU域内に拠点がある管理者、処理者といえるかという問題があります。
要はEU域内に拠点があるということ域内に拠点があるということを、EU域内にサーバーがあることも含むのかということ
ですよね。これは結構、難問です。EU域内に拠点がある管理者、処理者というのは、どういうふ
うに考えられているかというと、これはEUの司法裁判所が一定の見解を示しています。
管理者、処理者の拠点の解釈ですね。拠点の解釈については、登記があることを要さない、実際
16
の営業活動がある事務所であるとか、支店があれば拠点とみなすことができると言っています。
サーバーがある場合については特段述べていません。サーバーも拠点にあるのだという考え方もサーバーがある場合については特段述べていません。サーバーも拠点にあるのだという考え方も
一部ではあるようです。一部ではあるようです。そうすると、どう対応したらいいのかがわからない部分があると思いま
す。
では、そういう場合どうすればいいのかということですが、私としてはできるだけ厳しく解釈
したほうが安全・・要はEU域内にサーバーがある場合もGDPRの域外適用があると考えて体制整
備をしたほうがよろしいのではないかと思います。
それはコストの問題だと思うのです。ぶっちゃけていうと、サーバーがあるだけで拠点と判断さ
れますかと言われると、可能性としては低いのではないかなと思います。安全策をとるのであれ
ば、サーバーがあるだけでも拠点と考えて対応するということです。というのが、これに対する
お答えになります。
先ほど名刺のお話もあったと思いますが、日本に持ち帰るとき、海外で、EUで、名刺をいただ
いて日本に帰国したとき、GDPRの適用がありませんとなったとしても個人情報保護法の適用が
あります。それを忘れないでいただきたい。
GDPRが適用されないからといって、日本の個人情報保護法が適用されないかというと、それが適用されないからといって、日本の個人情報保護法が適用されないかというと、それ
はまったく違うはまったく違うのです。
先ほど日本の個人情報保護法日本の個人情報保護法の個人情報の定義について説明しましたが、日本人であることは
関係ないです。外国人であっても個人情報保護法の適用がある外国人であっても個人情報保護法の適用があるということを忘れないでいただき
たい。個人データを受領する場合には記録義務がある。日本の国法で定められていますし、保有
個人データの利用目的の公表などの義務も生じます。あるいは、個人データが日本に、十分性認
定をなされた日本に来て、それをさらに第三国、EUではない国に移転する場合、その移転には本移転には本
人の同意が必要人の同意が必要ということは、個人情報保護法に規定されています。日本の個人情報保護法を日本の個人情報保護法を
守ってください守ってくださいということですね。
ちなみに第三国に移転する場合はGDPRの先ほど述べた越境移転の規定も適用されます。再移
転する場合はGDPRと個人情報保護法の規定がダブルにかかってくることになりますので、その
点を注意してください。
GDPRについては、それほど恐れることはないというところもありますが、日本の個人情報保日本の個人情報保
護法をまず守ってください護法をまず守ってくださいというのが、私の正直な気持ちです。日本の個人情報保護法を守って
いれば、ほぼ大丈夫だと思いますので、そのことをよくスライドを見直して、ご確認いただけれ
ばよろしいのではないかと思います。
長時間にわたりましたが、ご静聴ありがとうございました。長時間にわたりましたが、ご静聴ありがとうございました。
17
