特集

EU一般データ保護規則と改正個人情報保護法

▼2018年、GDPR適用開始
2016年4月、欧州議会本会議においてEU一般データ保護規則(General Data Protection Regulation、以下GDPR)が正式に可決されました。現在は、GDPRの前身であるEUデータ保護指令の他、加盟各国にそれぞれデータ保護法が存在しています。

新たに可決されたGDPRは、2018年5月からEU全体で共通のものとして適用開始となり、以降は各国のデータ保護法は廃止となります。GDPRの適用範囲はEU市民をターゲットとしたサービスを提供する全世界の企業にまで及ぶものであり、EUで事業を展開するEU外の企業はもちろん、インターネット上でサービスを提供するすべての主体に影響を与える可能性があります。

 

▼GDPRの概要
GDPRは、保護される個人データの定義がオンライン識別子生体情報を明確に含む形で拡張されます。また、個人データの処理と移転に関して満たすべき法的要件について定められています。

例えばクレジットカード情報を保管する、メールアドレスを収集するなどが個人データの処理にあたります。個人データを第三国へ移動することが移転にあたり、第三国から閲覧する行為も含まれます。また、次のようにデータ主体の権利に関する規定が強化または明確化されます。

  • データ主体の同意にあたっての高い明確性・明瞭性や必要な情報の適切な通知義務
  • 72時間以内のデータ侵害通知義務
  • 大規模な機微情報を処理するデータ管理者等へのデータ保護影響評価の実施やデータ保護オフィサー設置義務
  • EU代表者を選任する義務
  • データ主体の「データポータビリティ」の権利
  • データ主体の「プロファイリング」に関わる権利

このように、GDPRは、日本の個人情報保護法と比べるとかなり詳細な事項が規定されています。GDPRは制裁金の大きさなど、規制の厳しさが目立ちますが、その理由は、GDPRが民主主義で重要視される基本的人権保護を大きな目的としているからです。基本的人権という重要な価値を保護するため、厳重になるというわけです。

 

▼改正個人情報保護法の今後
日本では2015年に改正個人情報保護法が成立し、2016年1月にはEUのデータ保護当局に相当する個人情報保護委員会が誕生しました。改正法は、2017年上半期頃に全面施行される見通しとなっています。

改正のポイントとしては、個人情報の定義の明確化、各種規定の整備、罰則の新設、個人情報保護委員会の新設、主務大臣の権限一元化などが挙げられます。「個人情報」の定義や、「要配慮個人情報」や「匿名加工情報」など新設された各種規定についてはよく確認しておいたほうがよいでしょう。

改正個人情報保護法はEUのデータ保護指令を参考にして作られたと言われています。改正個人情報保護法にも国境を越える場合の規定があります。グローバル企業では、先述したGDPRとともに、データの保管場所や処理に関して該当するルールに則っているかどうかを確認しておく必要があるでしょう。

なお、既にGDPRに明示的に含まれる規定のうち、日本の個人情報保護法制では積み残された課題とされている論点も多くあり、議論が進められてる真っ最中です。また、EUでもGDPRが適用される2018年までの2年間に、規則内容の具体化や各国政府・企業の対応が進められていくことになり、2016年末までにGDPRに関するガイドラインが作成される予定です。これは日本の個人情報保護法制にとっても今後の重要な指針となることが予想されます。