レポート

講演レポート「十分性認定後の日本企業のGDPR対応」ひかり総合法律事務所 弁護士 板倉陽一郎氏

序論:欧州一般データ保護規則(GDPR)の概要

GDPRとは何か

 EU法の種類には一次法と二次法、判例法がある。一次法は、日本で言う憲法レベルのもので、一次法に反した二次法は無効になる。二次法が普通の法律で、規則、指令、決定、勧告、意見がある。また、EU司法裁判所の判例は、先例拘束性はないが相当程度参考とされる。GDPRは二次法であり、今回指令から規則に格上げとなった。

 二次法の規則とは、各国の国内法に優先して適用されるもので、各国でそのまま法律として効果がある。一方、指令はEU域内の条約のようなもので、実施に当たっては各国が個別に立法していくことになる。

 GDPRの名前の一般とは、刑事データ保護指令に対するものである。つまり、GDPRは安全保障、捜査に関するデータを対象としていない。今回指令から規則に格上げされたことで、各国がGDPRをもとに対応することになるが、実施法は各国が定める部分が残っているため、実務に関しては各国法まで見る必要はある。

 例えば、研究または統計目的の場合の、データ主体の権利の一部除外を認める89条2項への対応や、従業員データの処理に当たっての対応については、各国で定めることが可能となっているが、国ごとに対応はかなり異なる。さらに、データ保護法で定める必要はないため、例えば従業員データに関しては労働法を見なければならないという場合も多い。

GDPRの適用範囲

 GDPRは、EU28か国+EEA3か国の計31か国に適用される。なので、永世中立国であるスイスや、モナコ、アンドラ、サンマリノ等の小国も対象外である。

実体的範囲
 日本の個人情報保護法では、個人情報データベース等に格納された個人情報である個人データを対象としているが、ヨーロッパでは全部または一部が自動的な手段による個人データの取扱いに適用される。また、ファイリングシステム(電子的なもの、非電子的なものを含め何らかの方法で検索することが可能(または可能になる予定)なデータベース)の一部または一部にすることが意図された個人データ(例えば、名刺アプリで管理する予定の名刺等)は、自動的な手段でなくても対象となる。

地理的範囲
 GDPR3条では地理的範囲として、

  • 直接適用:EU域内に拠点・事業所がある管理者または処理者がその拠点に関連した個人データを取り扱う場合(拠点/事業所基準)
  • 域外適用:EU域内に拠点がない管理者または処理者が欧州市民に対する商品・サービスの提供(対価の要求有無を問わない)、行動監視(ターゲティング広告等)に関連して個人データの取り扱う場合(標的基準)

を定めている。現時点のガイドライン案によると、直接適用に関しては、単純に受託・委託するだけですべて適用されるとは解釈されないように見られる。


 よく混同されているケースが見受けられるが、今あげた点はあくまでも適用に関する内容であり、越境移転の話とは異なる。域外適用と越境移転は全く別の問題で、域外適用はGDPRが適用されるかどうか、越境移転はGDPRのルールの一つである。

 GDPRは原則、処理も移転も禁止しており、行うためには適法化事由が必要となる。同意はあくまでも適法化事由の一つに過ぎず、さらに撤回が認められているというリスクがある点、また、十分性認定はあくまでも越境移転を適法化するための事由の一つに過ぎないという点に留意が必要である。実務の中では、域外適用される場合で越境移転するというケースも想定されるが、その場合はGDPRにも日本の個人情報保護法にも対応することになる。

第1部:EUから日本への移転

EUからの十分性認定の意義、今後のレビューと見通し

 越境データ問題には、データの移転そのものの制限に関する問題(通常個人データにかかってくる)と、データローカライゼーションの問題(個人データに限らず重要データを自国内サーバーに保存することを求めるもの 中国、ロシア、ベトナム等)があり、どちらに対応する必要があるかを理解する必要がある。十分性認定は、前者の問題に関するものとなる。

 欧州では、国により程度は異なるが個人データ保護は人権そのものであるという考え方から、基本的人権を守れない国に対しての移転は原則禁止としている。一方、米国系の立場は、基本的にデータは自由に流通するもので、例外的に流通の制限が可能としている。ただし、GDPRの正式名称からも見てとれるようにEUも自由なデータ流通の必要性は認識している。

日本は「外国にある『第三者』への提供」を制限しており、自分の一部(子会社、グループ会社)が外国にある場合は越境移転とみなされないが、欧州では相手がどういう関係であれ国境を越えれば規制の対象となる。GDPRでは、44条でEUからの移転を原則禁止としており、それを解除する事由として、45条で十分性認定、46条で十分性認定がない場合の適切な安全管理措置を施した移転、49条でそれ以外の場合の特則が示されている。

十分性認定とは

 GDPRを制定したのはEU(国)だが、実際の十分性認定は欧州委員会(行政機関)が行う。十分性判定された国/地域は、ほぼ欧州域内と認識されるような小国、EUのタックスヘイブンである国々、旧領主国が強力に支援した国で、正面から十分性認定されたのは、カナダ(民間部門)、イスラエル、ニュージーランド、日本(個人情報保護法が適用される範囲)のみとなる。米国は個別企業ごとのEU-USプライバシーシールドというスキームで処理している。
 十分性の評価ポイントは44条2項(a)(b)(c)にあるが、この中にある国防、国家安全保障のため民間企業が国にデータを提出する際の手続きに関して規定されている。また、3項では見直しが規定されており、初回は2年、その後4年ごととなっている。

 十分性認定にあたっては、必ずしも欧州の条項のコピーである必要はなく、実質的に同等かどうかが重要となってくる。欧州連合基本権憲章7条では基本的人権としてのプライバシー保護、8条では個人データそのものの保護が書かれているが、これは単なるプライバシーだけでなく個人データの処理で生じる差別等についても憲法レベルで保護されているかを判断するものと見られている。

 2018年9月5日に欧州委員会による日本の十分性認定の草案が公表されたが、十分性認定に意見を出す役割を持つ欧州データ保護会議(EDPB:各国データ保護機関の合議体)での議論に時間がかかり、12月になって条件付き承認の意見が提出された。その後、2019年1月23日に日欧相互に十分性認定がなされた。

 ただし、十分性認定がなされたのは個人情報保護法の対象範囲内に限定されており、それ以外の公的分野(行政、独立行政法人、自治体)や個人情報保護法の適用除外部分(学術機関が学術目的で利用する場合など)は十分性認定の対象外である。この状況は、大学や行政と連携して事業を実施する際に支障となるため、経済界からは個人情報保護委員会の所掌範囲に公的分野を含めることを求める声が出ている。

 EDPBが出した日本の十分性認定に対する意見では、個人情報保護法に関する評価、捜査等のための公的機関からのアクセスに関する評価、安全保障目的によるデータへのアクセスに関する評価がなされている。個人情報保護法に関する内容としては、

  • 補完的ルール自体は評価できるが、GDPRと本質的に同等か欧州委員会によるチェックが必要
  • 補完的ルールにより、EUから移転された個人データをさらに第三国に再移転するための法的根拠(個人情報保護法24条)にAPEC CBPRは含まれない
  • 法執行(刑事法)分野ではEUとの本質的同等性が認められない(現在は十分性認定の対象外)
  • 2年ごとのレビュー実施が必要(通常は初回2年後、その後4年ごとと規定)
  • プライバシーが憲法レベルで権利として認められている点は確認、一方で個人データの取り扱いが未定義であること、管理者、処理者の概念がない(日本は委託元、委託先として整理)点に関しては懸念
  • 同意の撤回が可能かどうかの不透明さ
  • 課徴金がない等権限は不十分

といった意見が出されている。

 日本に移転されたデータへの法執行機関からのアクセスに関しては、警察からの照会(捜査事項照会)に対し比較的容易にデータが提供されてきた現状をEDPBも把握しており、各都道府県警まで個人情報保護委員会の監督が及ばない点に懸念が示されている。また、各自治体の条例では法執行機関へのデータ提供に対する救済メカニズムがないため、個人情報保護委員会がEU市民に限定した苦情申し立て取次窓口を設置しているが、実効性が疑わしい点を指摘されている。

 欧州議会からは、パーソナルデータの範囲(個人情報の定義)が狭い点、捜査事項照会による任意なデータ提供が許されている点、捜査機関に対する拘束力があるかという点について疑念が指摘されており、これらは今後の個人情報保護法見直しの際に影響を与える可能性がある。

十分性認定以外の方法(SDPC、BCR、GDPR49条)による移転との関係

 SDPC(標準データ保護約款)は、日本が管理者、欧州が処理者となる場合の標準約款がなく、文言を変更して使用されているケースもあるが、約款の文言を変えてしまうとSDPCとしての効力はなくなってしまう。GDPR施行前の指令下で作成された標準契約条項(SCC)は経過措置として使用可能であるが、SCCの規定上移転元国の法律が準拠法となることに留意する必要がある。

 BCR(拘束的企業準則)はグループ企業全体をデータ保護機関に認定してもらうことによりグループ内のデータ移転を可能とするもので、日本では楽天がすでに認定済み、IIJ、富士通が申請中である。
 個別の事由による移転はGDPR49条で定められており、その中の1つが明示的同意に基づいた移転である。ただしこれは、限定的な人数に関する適法化事由であると条文に明示されており、反復的な移転への適用は非推奨でありリスクがある。

十分性に基づいて日本に移転されたデータに関する「補完的ルール」

 十分性認定に際しEUからは懸念事項が示されたため、十分性認定により移転されたEUのデータの取り扱いに関してのみ適用される「補完的ルール」が制定されている。
 主な内容は以下のとおり。

  • 性生活、性的指向又は労働組合に関する情報を要配慮個人情報と同様に取り扱う。
  • 保有個人データの6カ月制限は適用されない(開示等,本人からの請求等の対象となる)。
  • 提供先は、提供元の利用目的以上の目的を設定できない。
  • 外国にある第三者への提供の制限(APEC CBPRによる再移転はできない)
  • 再移転の基準はあくまでも個人情報保護法24条であり、再移転先がGDPR上適格であったとしても即再移転可とはならない。
  • 仮IDを残した匿名加工情報は認められない。

 これは、英国がEU離脱した場合、EU並びに英国に適用されることとなる。

 移転手段を複数用意しておくことは適切だが、実際にどの法的根拠によって移転するかはプライバシーポリシー等に明記が必要な通知事項となるため、事前にスキームを決めておく必要がある。

第2部 日本からEUにある第三者への提供

 日本の個人情報保護法は、24条で越境データ移転規制の例外として同等な保護水準にある外国への移転を認めている。ただし、同一法人内の場合は24条ではなく20条の安全管理措置の問題となる。移転を認められる国の条件は、規則新11条に定められているが具体的な国名は告示にさらに委任されている。また、GDPR同様、同等水準と認められる国について条件を付すことができ、認定後のレビューを前提としている。十分性が認められた国名は告示される。

 同等性認定以外の方法としては、規則11条の2(日本国法の遵守、国際的な枠組み(APEC CBPR等))で定められているので、実務ではNDA、契約書の中で個人情報保護法24条および規則11条の2およびガイドライン(外国にある第三者への提供編)の遵守を盛り込むことで手当てができるであろう。

第3部 EU以外からの移転の制限

 日本と同様に十分性認定された国でも、各国法の規制は異なっている。例えば、スイスはまだ未改正だが、原則個人データの移転禁止となるとみられている(GDPRとほぼ同様)のに対し、ニュージーランドは原則禁止とはしておらず、場合によりコミッショナーが禁止できることになっている。このため、十分性認定された国間の移転にあたっても、各国法の確認が必要となる。

最後に

 日本としては、日・米・欧3極間のデータ流通を進めたいという意向がある。現状APEC CBPRでの再移転はできない状況なので、個人情報保護委員会としてはAPEC CBPRに「何か」を加えた認証方法を構築し、GDPR認証と同等レベルにできないかが模索されているようである。