ＧＤＰＲ対応を必要とする日本の企業

社長さん方の会話の中でも「GDPR（※１）対応したか？」とかそういった話をちらほら聞くと思いますが、自社について本当に対応が必要なのか、必要だとしたらどのような対応が必要かを気にされている方は多いと思います。
週刊ダイヤモンドの特集にもなっており、日本企業、特に自分達の会社のような小さな会社には関係ないとは思いながら、気にされている方は多いのではないでしょうか。

ここでは、本当に対応が必要ないのか、それともやっぱり必要なのかということを分かりやすく解説します。

１．GDPRとは何か

GDPR（General Data Protection Regulation／一般データ保護規則）はEUの「規則」です。GDPRは、2012年1月25日の欧州委員会の立案後、慎重な議論を経て、欧州議会により2016年4月14日に採択され、同月27日に成立し、2018年5月25日より施行されています。

詳細は省きますが、「規則」はEUの加盟国においては法令と同じ意味を持ちます。独占禁止法のように、海外の会社に直接適用される他国の法令は意外と多くあります。GDPRもこの例になります。
GDPRが適用されると、EU（正確に言えば、EEA（※２））内の個人データを収集・処理・移転することについて制限がかかり、また規則の要件を遵守していないと罰則の対象になります。

２．日本企業になぜGDPR遵守が必要なのか｜GDPRの罰則

もしGDPR違反とされた場合には、全世界の売上ベースで最大4％か2000万ユーロ（約26億円）の課徴金を課せられ、多くの会社では会社の経営に直接関わる規模の影響が出ます。ここでは、全ての義務内容を詳細かつ正確に記載することはせず、敢えて適用されるかどうかの有無に絞って話をします。

実際に対応の必要性がある企業は、大きく分けると、１）EU内に拠点がある企業と、２）EU内に拠点がなくとも、EU内の自然人をターゲットとした業務を行っている場合です。以下、具体的に解説します。

３．EUに拠点がある場合

EUに拠点がある場合には、後述４．域外適用の話を待つまでもなく、ほぼ間違いなく適用があります。顧客は勿論のこと、従業員の個人情報を取り扱うことになるためです（なお、EU内の自然人とは、EU加盟国の国籍のみならず日本人も含むものと解されています。）。

４．EUに拠点がない場合

ここが今回の焦点ですが、EUに拠点がない場合であっても、次の2つの場合には対応をする必要があります（以下の分類は筆者の理解に基づくものであって正式なものではありません）。

• 　①直接取得：域外適用が認められる場合、即ちEUに向けたサービスを行っている場合
• 　②間接取得：EUの企業と取引をしており、EUの企業から個人情報が移転される場合

ただ、②については、今年（2019年）の1月23日に、欧州委員会が日本国の情報保護制度が「十分性」を満たしていると判断しました。（2019年1月23日COMMISSION IMPLEMENTING DECISION）

これまでは、EUから個人情報を移転するためには、「標準契約条項」（SCC＝Standard Contractual Clauses）を盛り込んだ契約の締結や「拘束的企業準則」（Binding Corporate Rules＝BCR）の策定等の特別の手当てが必要でしたが、このような特別の手当てなく個人情報を移転される（受領する）ことが可能になります。

もっとも、EUと日本の個人情報保護法制との差異を勘案し、個人情報保護委員会が補完的なルールを策定しており、かかるルールの遵守は必要になりますが、負担はかなり軽減されたものと言えます（※３）。

他方、①直接取得については、日本国内で行うサービスの提供が「域外適用」の対象になる場合があるため、注意が必要です。
一つの類型としては、EU向けに直接サービスを提供している場合です。ECサイトでEUの言語やユーロ建て等の価格表記を使用している場合にはそのようにみられる可能性があります。

もう一つの類型は、個人の追跡のための個人情報を取得している場合です。少し分かりにくいのですが、GDPRの文言上、個人情報を入力させる場合だけではなく、ウェブサイトの閲覧をした方（EU内に所在する自然人）のクッキー（ウェブサイトにアクセスしたときに、ログイン情報や履歴などを当該パソコンや携帯電話に保存するテキスト形式のデータ）を取得する場合、現在地情報等をアカウントと結び付けて情報を取得する場合等が含まれると解されています。

５．具体的に何をすればよいか

GDPRに対応しなければならない場合、社内体制の整備が必要になります。
具体的には、個人情報保護規程を策定し、管理体制、漏洩時の報告体制、個人情報の主体、つまり本人から問い合わせや削除・訂正の請求を受けた場合の体制をその中に規定すること、またこれに合わせた体制作りをしていくということになります。
ただ、このような体制作りは防衛策の一つにはなりますが、無論、重要なのは、実際に対応して業務が行われていることです。　　

６.注意点

また、サイトを運営している場合には、プライバシーポリシーの整備が必要になります。GDPRでは日本の個人情報保護法と異なり、クッキー等、サイトを見ただけで収集される情報も個人情報とみなされるため、この点は注意が必要です。
同意を取得する場合には、意思をきちんと確認できることが必要になりますので、サイトを見ただけで同意したものとみなす方式ではなく、チェックを入れて頂く方式の同意取得方式に置き換えることをお勧めします（最近では、クッキーの利用に関して閲覧者に対してチェックを求めるウェブサイトも目立ってきました。）。

まとめ

上記のように、EU内に拠点がある場合、又は域外適用がある場合、形式的にはGDPR対応が必要になります。実際に日本の企業（特に、EUに拠点のない企業）がどこまで規制を受ける可能性があるかは未知数と言えますが、現時点でできうる限りの対応をしておくことは、万が一の際にも効果があると考えます。

GDPRが適用されるかという観点からすればやや蛇足的になりますが、最近、多国籍企業から個人情報の提供を受ける場合において、その多国籍企業がGDPRを当然に組み込んだプライバシーポリシーを策定しているため、契約の相手方の日本企業に対してGDPR水準の情報保護を要求する契約を求めることが多くなっています。自社について現在も将来も適用を受ける可能性がないと考えておられる方も、そのような契約を締結することによってGDPRに準ずる情報保護体制を取ることが求められる場合があります。

このように、GDPRはEUの規制なのですが、日本の会社も色々な形で対応を求められることがあります。自社に関係ないか、一度は詳細にご検討頂きたいと思います。

※１Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
※２European Economic Area（EU28ヵ国+ノルウェー、アイスランド、リヒテンシュタイン）
※３個人情報の保護に関する法律に係るＥＵ域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール。正確には当該リンクを参照頂きたいが、概要を記載すると、１）要配慮個人情報とみなされる範囲が広がること　２）6か月以内に消去するデータも保有個人情報データと取り扱われること　３）EUからの個人情報取得の際に利用目的・取得の経緯・取得日時等を記録すること　４）日本から更に第三国に移転する場合には当該国が日本と同様の保護水準を有していること、又は標準保護条項を含んだ契約を締結することを条件とすること　５）匿名個人情報として（ビッグデータとして）利用する場合には不可逆にしなければならないこと等のルールが策定されている。