情報漏洩調査とは?調査手法や事例、調査会社の選び方を解説
2023年8月25日
EU競争法 R&D及び専門家協定一括適用免除規則及び水平型協調ガイドラインの改正について
2023年8月30日
「GDPR」は、EUが定めている個人情報保護に関する法律。EU区域外の企業でも、EU企業と取引する際には適用を受けることがあり、違反した場合は制裁が科される可能性もあります。GDPRの違反時に生じるリスクとその影響、日本の個人情報保護法との違いについても解説します。
GDPRとは
EU(欧州連合)区域内の個人情報保護を規定するために2016年4月に制定された法律が、GDPR(General Data Protection Regulation:一般データ保護規則)。氏名や住所に限らず、Webサイト閲覧にかかわるCookie情報やIPアドレスも含む個人データやプライバシー保護に関して規定され、全体に日本の個人情報保護法より適用範囲が広いなど厳しい規定となっています。
日本企業でも、EU企業と取引する際にはGDPRが適用される場合があるので、とくに法務やコンプライアンス関係の担当者は、社の中心となってGDPRを遵守できるよう、日本の個人情報保護法との違いも合わせて詳細を理解しておく必要があります。
GDPRにおける個人情報の範囲
保護対象となる個人情報について、GDPRでは個人が識別される可能性がある情報を「個人データ」として、具体的な例を挙げています。
たとえば個人の氏名、住所、電話番号、識別番号(パスポート、運転免許証など)、メールアドレス、クレジットカード情報、GPSデータ、IPアドレスなどがあり、「個人情報」と聞いてイメージできるものが、デジタルデータも含めて広く対象になるといえます。
GDPRの適用対象となる企業の範囲
次に、GDPRが適用される企業の範囲について解説します。
EU域内に子会社や支店がある企業
本社が日本にあっても、子会社や支店がEU域内にある企業が個人データを取り扱う際は、常にGDPRが適用されます。その取扱いがEU 域内で行われるものであるか否かに関わらず、GDPRの規制対象となります。
EU域内に商品やサービスを提供している企業
EU域内に子会社や支店などの拠点がない場合でも、EU域内のユーザーに対して商品やサービスを提供している企業は、GDPRが適用されます。ヨーロッパのユーザーが自社のECサイトを通じてIDやメールアドレスなどを登録し、商品を購入した場合などが該当します。
EU企業から個人データ処理の委託を受けている企業
EU域内に子会社や支店がある企業から委託を受けて個人データを取り扱う企業や組織は、GDPRが適用されます。
EU域内のユーザー行動を把握・分析する場合
EU域内に子会社や支店などの拠点がなく、EU域内のユーザーに対して商品やサービスの提供をしていない企業でも、EU域内のユーザー行動を把握・分析する場合には、GDPRの規制対象となります。自社のWebサイトにEUからのアクセスが多く、氏名やCookie情報など個人データを取得する場合には要注意。ターゲティング広告やレコメンドなども含まれます。
GDPRと日本の個人情報保護法の違い
日本における個人情報保護に関する法律は、「個人情報保護法」です。個人情報の定義、保護の範囲、罰則などの観点から、GDPRとの違いを比較しながら概要を解説します。
日本の個人情報保護法とは
2003年に制定、2005年に全面施行された日本の個人情報保護法は、日本の企業や個人事業主など、個人情報取扱業者に対して規定した法律。数年ごとに改正が行われてきており、最近では、Cookie情報に関する規制が強化されるなど、日本国内でも個人情報の取り扱いは厳しくなる傾向にあります。
行政やビジネスなど、さまざまな分野でのサービスの向上や業務効率化などへの有用性とともに、個人の権利や利益を守ることを目的としたもので、国の行政機関や独立行政法人、地方公共団体はもちろん、個人情報を取り扱う全ての事業者や組織に適用される法律です。
GDPRと日本の個人情報保護法の違いとは
- 個人情報の定義(保護の範囲)
- GDPR
個人を特定できる氏名や住所などあらゆる情報(IPアドレスやCookieなども含む) - 個人情報保護法
氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報
- GDPR
- 適用範囲
- GDPR
EU域内で個人データを取り扱うすべての組織 - 個人情報保護法
日本国内で個人情報を取り扱う事業者
- GDPR
- 罰則
- GDPR
・「1000 万ユーロ以下」または「前事業年度の全世界年間総売上高の2%以下」のいずれか高額なほう
・「2000 万ユーロ以下」または「前事業年度の全世界年間総売上高の4%以下」のいずれか高額なほう
- 個人情報保護法
・法人の場合:1億円以下の罰金
・個人の場合:1年以下の懲役または100万円以下の罰金
- GDPR
個人情報の定義や適応範囲も広いのがGDPRの特徴。特に罰則をみると、日本の個人情報保護法は最大でも1億円の罰金であるのに対し、GDPRでは数十億単位の高額な罰金となることが分かります。
GDPRにおける企業が負うべき責任
GDPRでは、個人データの管理者に当たる企業が負うべき責任を詳細に定め、個人データの保護と事業者への義務について明確にしています。個人データに関する企業の責任内容は、以下のとおりです。
GDPRに沿った個人データの取扱いシステム・人的体制を整備する責任
GDPRでは、管理者、つまり企業が技術においても組織においても適切に措置を行い、かつ改善していくよう定めています。
個人データの取り扱いでは、データを仮名化や暗号化すること、機密性の高いシステムを構築すること、組織内においてGDPRの遵守を監視する責任者を選任することなどが責任として挙げられます。
個人データの取扱いに関する記録を取る責任
対象企業は個人データ取り扱いの際に、都度、記録を取ることが求められます。記録すべき内容として、管理者の名前や連絡先、個人データ取り扱いの目的、個人データの種類、開示された取得者の情報などが挙げられます。
個人データ侵害、情報漏洩時に対応する責任
対象企業で個人データの侵害や情報漏洩が発生した場合は72時間以内に所定の機関へ通知し、遅延する場合はその理由も必要になるなど、速やかな対応が義務付けられています。また、個人データが侵害された本人にリスクが生じる可能性があれば、その本人に対しても連絡する必要があります。
EU圏内でビジネス展開する企業はGDPRをしっかり認識・対策しておきましょう
日本企業においては、国内の個人情報保護法に対応している個人情報取扱いマニュアルも、GDPRには対応していないケースが多数あります。
日本のEU域内ですでにビジネスを展開している企業はもちろん、今後予定のある企業も、自社にGDPRの適用があり得るか可能性に関しての認識が必須です。GDPR適用の可能性がある企業は、あるとき突然罰則の対象となり、多額の制裁金を科されたり、EU企業との取引中止を求められたり……といったリスクを抱えています。こうしたリスクを回避するため速やかにGDPR対策を行う必要があります。
法務担当者が中心となり、EU域内の子会社・支店、総務・人事部門やセキュリティ部門など、社内の複数部署を横断しての対策が急務。EU企業との取引がある場合や、EU域内から自社Webサイトへのアクセスが多い場合などはすでに適用対象である可能性が高いため要注意です。
GDPRについて弁護士が解説
FRONTEOが運営するメディア「FRONTEO Legal Link Portal(FLLP)」では、国内外の気鋭の弁護士たちが、ビジネスシーンで役立つ法務関連のトピックを解説しており、新しい動画も続々追加されています。GDPRをはじめとした、海外の個人情報保護法についても多くの弁護士が取り上げています。GDPRについて詳しく知りたい方、個人情報の取り扱いについて悩んでいる方はぜひ一度FLLPの動画をチェックしてみてください。
一流弁護士・専門家が監修する、法務知財に関する600本以上の解説動画が無料で見放題!
