情報ライブラリー

1.調査研究の視点

 2018年度は、5月25日に一般データ保護規則(General Data Protection Regulation:GDPR、以下、「GDPR」という)1が施行され、国内でも多くの企業がその対応に追われた年となった。GDPRは欧州委員会が定めたEU規則ではあるが、個人データの越境移転や法の域外適用などの面において、多くの民間企業が影響を受けることもあり、日本だけでなく国際的にも大きな注目を集めた。
 また、年が明けた2019年1月23日には、欧州委員会が日本に対してGDPRと同等の個人データ保護が実現されているとする「十分性認定2」を行い、同時に我が国は個人情報保護法に基づく個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等3として欧州4を指定した。これにより、日EU 間における個人データの移転については、法的な枠組みのもとで相互に自由に行うことができるようになった。GDPRは、2019年3月時点において、世界的に最も注目されているデータ保護法であると考えられ、2018年は、個人データ保護における「黒船来航」の年であったとも言えよう。
 GDPRの影響は我が国だけにとどまらず、世界各国でも新たな個人データ保護法やプライバシー法の施行や提示が相次いだ。隣国であり、今やアジアだけでなく世界的にも経済大国の様相を呈している中国では、通称「サイバーセキュリティ法5」が施行され、個人データ保護の内容は明らかにGDPRを意識したものと言われており、今後の動向が注目される。また、我が国の主要な貿易相手国とも言える米国でも、2018年6月にカリフォルニア州消費者プライバシー法(The California Consumer Privacy Act of 2018:CCPA)が成立するなど、GDPRが各国に与えた影響は大きいと言われている。
 本節では、上記の「GDPRインパクト」とも言えるGDPRが与えた国内外への影響について調査した結果をまとめたものである。


1 REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)
2 一般的には、「十分性認定」と呼称されることが多いが、GDPR原文では “adequacy decision” とされており、欧州委員会が第三国に対してGDPRと同等の個人データ保護を実現するに十分なしくみを有している国を「十分であると決定」する行為を指す。
3 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
4 欧州経済領域協定(EEA)に規定された31カ国(2019年3月31日現在)
5 「网络安全法」。中国政府公式の英訳は “Cybersecurity Law of the People's Republic of China”。

2.EU におけるプライバシー保護の法体系

 GDPRは、プライバシーを基本的人権と考えるEUの理念を具体化したものであり、その源流は1980年の経済協力開発機構(OECD)の理事会勧告「プライバシー保護と個人データの国際流通についてのガイドライン」6にある。これに基づき1995年に「EUデータ保護指令」7が制定されたが、これは指令の内容について各国にデータ保護に関する法律を制定するよう定めたものである。
 EUにおける法体系では、プライバシーを基本的人権と定めた欧州基本権憲章が「一次法」として位置づけられ、こちらは2000年に公布されている。また、「指令」から「規則」への変更により、EU全域(正確には、European Economic Area(EEA):EU加盟国に、アイスランド、リヒテンシュタイン、ノルウェーの3か国を加えた31か国)を欧州デジタル単一市場として推し進めるための法規制となった。これにより、GDPRがEU全体に適用される基本権憲章に基づくプライバシーに関するデータ保護の規則となる体系が完成した。


6 「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data)。一般的には、「OECDプライバシーガイドライン」等と呼ばれることも多い。1980年に最初の勧告が行われた後、2013年に更新版が勧告されている。当協会にて、仮訳版を公開している。
7 「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令」(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)


図表1 EUにおける法体系

図表1 EUにおける法体系

3.GDPRインパクト ~GDPR施行に伴う国内の影響~

 GDPRは、「欧州市民の個人データの取扱いに関する規則」であるが、「欧州市民」には欧州在住の邦人も含まれることに注意が必要である。これには、欧州に支社や出張所を置く企業の従業員も含まれる。すなわち、GDPRは特に欧州に顧客を持つ事業を行っている企業だけでなく、国籍を問わず、欧州に在住する市民の個人データを取扱う全ての企業に影響があるということである。
 また、GDPRのもうひとつの特徴として、域外適用という考え方がある。域外適用とは、欧州に所在する企業や組織だけではなく、欧州域外に所在する企業であっても、欧州市民の個人データを取扱う場合はGDPRに従わなければならないとする考え方である。これらの事実は、日本企業にとって遵守すべき個人情報保護のための規則がひとつ追加されたことを意味し、これまで国内の個人情報保護法だけに目を向けてきた企業にとって、大きなインパクトとして受け止められた。
 当協会は、2017年8月にGDPRの仮訳版を公開したことから、GDPR施行の前後から現在に至るまで、GDPRに関する問い合わせも数多く寄せられている。また、2018年夏以降は、GDPR対策を銘打った多くの勉強会やセミナー等が各地で開催され、日本企業が対応すべき事項も徐々に明らかになってきた。
 以下、特に日本企業からの問い合わせで関心が高いと思われる事項について、当協会の見解を整理した。参考になれば幸いである。

3.1 GDPR対応の要否判断
 日本企業にとって、自社は「GDPR対応の必要があるのか」、「取引先からGDPR対応の状況を聞かれたらどう答えるか」という懸念が存在する。しかし、結論から言えば「欧州市民の個人データを取扱う業務を行っていなければ、GDPR対応は必要ない」となる。GDPRは欧州連合が施行する規則であり、保護の対象は欧州市民の個人データである。したがって、主に国内向けのビジネスを行い、取引先に欧州が含まれない場合は、当然ながらGDPR対応について憂慮する必要はない。
 ただし、2019年3月現在において、GDPRは世界で最も影響力のあるデータ保護法のひとつとして認識されている。対取引先や対顧客を想定した場合、GDPRに準じたデータ保護策を実現していることを宣言できれば、取引先や顧客に対して大きな信頼を得ることができるとも言えよう。

3.2 個人データの取扱い
 GDPRは、個人データの取扱いと移転に関する法でもある。ここで言う取扱いとは、原文では “processing” と表現されており、文字どおり個人データの取得・閲覧・利用・加工など、ほぼ全ての行為が含まれると考えて良い。GDPRへの対応が必要となる企業は、GDPRと個人情報保護法における個人データの取扱い規定に若干の差異が存在するという認識はしておく必要があるだろう。

3.3 同意の取得と、従業員の個人データの取扱い
 個人データを取扱う場合、データの利用目的や用途について取得元である個人の同意を得て、個人データを取扱うという行為は原則と考えられており、一般的にも浸透している。しかし、GDPRにおいて同意に基づくデータ利用を行う場合、注意しなければならない大きな2つのポイントがある。

1) GDPRにおける「同意」の定義
 日本国内においても、個人データの取得や取得後のデータ利用方法等については事前同意を得ることが原則である、という考え方は浸透しているが、GDPRにおける「本人の同意」を実現することは、相当ハードルが高いと言われている。

GDPR 第4条 (11)
データ主体の「同意」とは、強制を受けず、特定的に、情報提供を受けたうえでかつ曖昧でないデータ主体の意思表示であることを意味する。その意思は、当該データ主体が、宣言又は明らかな積極的行為によって、自己に係る個人データの取扱いに合意(agreement)して表すものとする。
‘consent' of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

 上記で引用した条文のとおり、GDPRにおける同意をデータ主体たる個人から得るには、個人データ収集側の都合や理由について、データ主体による完全に選択の自由が存在する同意である必要があり、かつ明らかな積極的行為によって得られなければならない。つまり、「A or B」のような選択肢を提示する場合に、データ主体の意図として「C や D」のような選択の余地があるような同意のとり方は無効である、ということである。

2) 同意の撤回への対応
 GDPRでは、同意に関して「完全に個人の意思を尊重すべき」という強い方針を要求していることは上記のとおりであるが、それに加えて「個人は一旦同意した事実をいつでも撤回できる」という権利を持つ、という点にも注意が必要である。

GDPR 第7条3項
データ主体は、いつでも同意を撤回する権利があるものとする。また、同意の撤回は撤回前の同意に基づく取扱いの合法性に影響を与えない。データ主体は、同意を与える以前にその旨が通知されていなければならない。同意の撤回は、その付与と同程度に容易なものでなければならない。
The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it.

3) 正当な利益
 上記1)2)を見る限り、同意に基づくデータの取扱いを「同意を得られれば良い」という安易な考えで進めるのは些かリスクを伴うであろう。ただし、GDPRでも同意が全てではないということは明記されており、第6条 適法な取扱い において同意以外の適法な取扱いについて定義されている。
 たとえば、従業員の個人データを取扱う場合に同意に基づく取扱いを行うことを想定したとする。企業と従業員は雇用契約等何らかの制約のもとで個人データの提供や取得の合意を得ることが想像されるが、この時点で上記1)の同意条件を満たせないという見方がある。このとき、下記第6条(f)の「正当な利益」による個人データの取扱いの適法性を主張することで、従業員の同意を伴わずに個人データの取得や利用について適法だと言うことができる、と言われている。

GDPR 第6条 適法な取扱い
1. 取扱いは、次に掲げる少なくともひとつの項目が適用される場合に限り、適法とする。
Processing shall be lawful only if and to the extent that at least one of the following applies:
(a) データ主体が、ひとつ又は複数の特定の目的のために自己の個人データの取扱いに同意を与えた場合。
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
<中略>

(f) 管理者又は第三者によって追求される正当な利益のために取扱いが必要な場合。
ただし、データ主体の、特に子どもがデータ主体である場合の個人データの保護を求めている基本的権利及び自由が、当該利益に優先する場合を除く。
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

4.ePrivacy 規則の概要

 GDPRは、個人に関するデータの保護全般について基本的な要件を定めたものであり、セクターごとの詳細は定めていない。そのため、より詳細な規定が必要なものについては、GDPRを補完するものとして、特別法が制定される。電子通信サービス分野においては、ePrivacy規則がそれに該当する。
 欧州委員会が発表した「Stronger privacy rules for electronic communications Strengthening trust and Boosting the Data Economy」 によれば両者の違いは以下のとおりである。

図表2 GDPRとePrivacy規則の違い
GDPR
ePrivacy 規則
送信手段を問わず全ての個人データが対象 個人データであるか否かを問わず、電子通信および端末機器上の情報の完全性が対象
個人データ保護の権利を定める 通信のプライバシーと秘密の権利を定める
市民に新しい権利を与え、企業に新しい義務を課す 通信を行うアプリやサービスが通信の傍受、録音、聴取または盗聴することができないようにする

 ePrivacy規則は「cookie法」と表現されることがあるが、これは本質を表していない。プライバシーに限定されたものではなく、広く通信に関連する秘密を保護することが主たる目的である。
 当初はGDPRと同時施行を目指していたが、ステークホルダー間での調整がつかず、本稿執筆時点でも今後の予定は見通せていないが、骨子はほぼ固まっており、そう遠くないうちに成立するものと思われる。

4.1 対象
 対象となる事業者は、以下のとおり。

① 指令では、テレコムサービスやISP等の電気通信事業者が対象であったが、規則では、OTT(Over The Top)サービスと言われる、メッセンジャー、クラウドメール、VoIP等のサービスを行う事業者も対象とされる。

② EU域内に所在するエンドユーザーの端末の情報を扱う場合に適用されることからWebサービスやスマートフォン・アプリケーション等を提供する事業者の大半も対象となる。

 また、対象となるデータ(電子通信データ:電子通信コンテンツと電子通信メタデータに分類される)は、以下のとおり。

① 電子通信コンテンツ
テキスト、音声、ビデオ、画像、音声などの電子通信サービスによって交換されるコンテンツ

② 電子通信メタデータ
電子通信コンテンツを送信、配布または交換する目的で電子通信ネットワークにおいて処理されるデータであって、通信のソースおよび宛先、電子通信サービスを提供する状況で生成されたデバイスの位置に関するデータ、および日付、時間、継続時間および通信の種類をトレースおよび識別するために使用されるデータを含む。メタデータはWebページならばキーワード、cookie、フィンガープリントファイル(電子メールや電子証明書などが改ざんされていないことを証明するための値)などが該当する。

4.2 電子通信データの取扱い
 電子通信データは秘密とし、エンドユーザーによる同意など本規則により許容されるとされた以下の場合のみ処理が可能となる。

① 電⼦通信データの処理が可能となる場合

(ア) 通信の伝送に必要な場合

(イ) セキュリティを維持・復元する場合、技術的障害やエラーの発見に必要な場合

② 電子通信メタデータの処理が可能となる場合

(ア) 法が義務付けるサービス品質への適合に必要な場合

(イ) 課金、相互接続料金の算定、不正利用の検知と抑止、サービス加入等に必要な場合

(ウ) ひとつまたは複数の特定された目的のためにエンドユーザーが同意した場合

③ 電子通信コンテンツの処理が可能となる場合

(ア) 通常のサービス提供に関して、エンドユーザーが同意した場合

(イ) 匿名データでは実施できないひとつ以上のサービス提供に本人が同意した場合で、かつ監督機関と事前協議を行なった場合

 電子通信データは、原則としてエンドユーザーのコンテンツ受信後・通信伝達に不必要となった場合には、消去・匿名化しなければならない。

4.3 端末に保存された、および関連した情報の取扱い
 端末機器上の情報を取得する場合は、原則として同意が必要となる。

① 以下の場合を除き、端末機器の処理および記憶機能の使⽤、およびエンドユーザーの端末機器からの情報収集(ソフトウェアおよびハードウェア、エンドユーザー以外のものを含む)は禁⽌

(ア) 電⼦通信ネットワーク上で電⼦通信を伝送するために必要な場合

(イ) エンドユーザーが同意を与えた場合

(ウ) エンドユーザーが要求した情報社会サービスの提供に必要な場合

(エ) エンドユーザーが要求した情報社会サービスのオーディエンス計測に必要な場合

② 以下の場合を除き、他のデバイスやネットワーク機器と接続するためにエンドユーザーの端末から発信(emit)された情報の取得は禁止

(ア) 接続の確立に必要な場合

(イ) 取得方法、目的、責任者及びエンドユーザーが収集を停止・最小化するために必要な方法等の情報が、明確かつ目立つ形で通知される場合

 ただし、ePrivacy規則 前文21条で、プライバシー侵害が存在しないか極めて限られる場合は同意不要とされている。どの程度が同意不要となるかについて議論はまとまっていないが、サービス提供者がそのサービスの範囲内でアクセス解析を行う場合やECのカートのようなセッション管理を行う場合のcookieの取得が該当するとの見方が有力となっている。

4.4 その他
 同意について6か月毎のリマインド、サイトやサービスへのアクセス条件として追跡の許可を求めるトラッキング・ウォールの禁止等、規則に含まれると極めて影響が大きい事項が議論されている。

5.十分性認定とデータ越境移転

 2019年1月23日、欧州委員会は日本に対し、GDPR第45条に基づく「十分性認定」を行った。十分性認定については、過去数年に亘って個人情報保護委員会と欧州委員会間で協議を実施し、我が国の個人情報保護の状況がGDPRで定めるそれと比較しても十分であると認められたものである。この決定により、EU域内から我が国への個人データの移転については、個人情報保護法及び「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール8」(以下、「補完的ルール」)を遵守することにより、GDPRと照らして適法となった。同時に、個人情報保護法第24条に基づき、国内でも「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)9」においてEU諸国を指定した。これにより、日EU間において、自由な個人データの越境移転(フリーフロー)が実現した。


8 https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf
9 https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/

GDPR 第44条 移転に関する一般原則
取扱いがなされている又は移転後の取扱いを意図したあらゆる個人データの第三国又は国際機関への移転は、本規則の他の規定に服し、本章で定める条件が管理者及び取扱者によって遵守されている場合に限り、行われるものとする。当該移転には、ある第三国又は国際機関からまた別の第三国又は国際機関への個人データの再移転も含まれる。本章の全ての規定は、本規則によって保障される自然人の保護レベルが低下しないことを確保するために適用されるものとする。
Article 44 General principle for transfers
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.

個人情報保護法 第24条 (外国にある第三者への提供の制限)
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

5.1 十分性認定の意味
 日EU間の経済発展を考える上で、EU加盟国以外の国である日本が十分性認定により個人データの移転が可能になった意味は大きい。十分性認定以前は、EU非加盟国の企業が欧州市民の個人データを欧州域外へ移転させる場合、GDPR 第46条 適切な保護措置に従った移転 に基づく対応が要求されていた。同46条におけるデータ移転が認められる条件は容易に満たすことができる内容ではないため、我が国が十分性認定を受けたことは、日本国内の企業にとって、大幅な対応コストの削減を実現したと言えよう。
 ただし、十分性認定は少なくとも4年毎に見直しを行う10とされている点には注意が必要である。
 十分性認定以外に欧州域外に個人データを移転させるための欧州とEU非加盟国間の仕組みとして、EU-USプライバシーシールドがある。EU-USプライバシーシールドは、個人データの取扱いについて十分な措置ができている企業を米国政府が認証し、認証を受けた企業に対して、欧州から個人データを移転させることを認める制度である。しかし、大手IT企業による大規模な情報漏えい事案や米国政府によるプライバシー侵害が指摘されたことで、一時期EU-USプライバシーシールドに対して一時停止の措置が必要なのではないかという議論が巻き起こったことがある。同様に、十分性認定を受けた日本において、企業による大規模なデータ漏えいが発生し、欧州委員会によりその対応が十分ではないと判断された場合は、4年を待たずして十分性認定について再評価を実施することや、一時停止あるいは取り消し等の判断が下される可能性もゼロではない。十分性認定は、複数年の調整期間を経て、EUと日本政府間で交わされたものであり、その継続のためには個人データを取扱う全ての関係者の継続的な努力が必要であるということは認識すべきであろう。


10 GDPR第46条に基づく十分性認定の定期的な見直し期間は4年とされているが、2019年1月23日付けの欧州委員会のプレスリリースでは、初回の見直しは2年後に実施され、その後は少なくとも4年毎に見直しが実施される旨が明記されている。  http://europa.eu/rapid/press-release_IP-19-421_en.htm

GDPR 第45条 十分性認定に基づく移転
1. 第三国又は国際機関への個人データの移転は、当該第三国、第三国域内の領域若しくはひとつ若しくは複数の特定された部門、又は国際機関が保護に関して十分なレベルを保証していると欧州委員会が決定した場合に行うことができる。この移転は、いかなる個別的許可も要しない。
Article 45 Transfers on the basis of an adequacy decision
1. A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation.

GDPR 第45条 十分性認定に基づく移転
3. データ保護レベルの十分性の評価後、欧州委員会は、実施行為により、第三国、第三国域内の領域若しくはひとつ若しくは複数の特定の部門、又は国際機関が本条第 2 項の趣旨において保護に関して十分なレベルを保障していると決定することができる。実施行為は、少なくとも 4 年ごとの定期的な見直しに関する仕組みを提供するものとし、見直しでは第三国又は国際機関における全ての進展を考慮するものとする。実施行為は地理的及び分野的適用を特定しなければならず、該当する場合、監督機関又は本条第 2 項(b)号で定める機関を明らかにしなければならない。実施行為は第 93 条第 2 項で定める審査手続に従って採択されなければならない。
3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2).

4. 欧州委員会は、有効である基準に基づき、本条第 3 項により採択された決定及び指令 95/46/ECの第 25 条第 6 項に基づき採択された決定に関する作用に影響を及ぼし得る第三国及び国際機関における進展を監視しなければならない。
4. The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3 of this Article and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC.

5. 欧州委員会は、特に本条の第 3 項で定める見直しに従い、第三国、第三国域内の領域若しくはひとつ若しくは複数の特定の部門、又は国際機関がもはや本条第 2 項の趣旨において保護に関して十分なレベルを保証していないことを利用可能な情報が示しているならば、効果の遡りなしに、実施行為の手段によって本条第 3 項で定める決定を、必要な範囲で、廃止、修正又は保留しなければならない。当該実施行為は第 93 条第 2 項で定める審査手続に従って採択されなければならない。
適切に正当化された必須の緊急的根拠がある場合、欧州委員会は第 93 条第 3 項で定める手続に従い、適用可能な実施行為を直ちに採択しなければならない。
5. The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).
On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3).

5.2 データの移転についての理解
 十分性認定により、データの移転に関しては個人情報保護法及び補完的ルールを遵守することで、GDPRの条文に対する追加の対応は必要なくなった。GDPRで定義されているデータの移転(データの域外移転)とは、欧州に存在する組織(企業だけではなく、政府機関やNPO等も含まれる)が欧州で個人データを収集し、該当組織が収集した個人データを日本国内の企業や組織が取扱う行為を指す。注意すべき点は、海外向けのコンシューマーサービスには様々な運用形態が存在するという事実である。欧州の顧客向けのサービスにおいて、個人データの収集・蓄積・取扱いがどのような運用形態で提供されているかを整理し、それがデータ移転に該当するのか、直接取得に該当するのかを把握しておくことが重要である。すなわち、データ保護に対する措置として、補完的ルールの対応で十分であるのか、GDPRの直接適用を想定した対応とすべきかについては、個人データの取扱いにかかる運用形態に依存して異なるということを理解すべきである。

5.3 十分性認定によるデータ移転の留意事項
 十分性認定により、EU域内において個人データを適正に取得し日本へ移転して取扱う場合、個人情報保護委員会による補完的ルールを遵守しなければならない。
 補完的ルールには「本ルールは法的拘束力を有する規律であり」「個人情報保護委員会の執行対象となる」と記載されており、一般的なガイドラインとは異なり、違反した場合には法律違反となる可能性があることに留意する必要がある。

① GDPRにおける「特別な種類の個人データ」を要配慮個人情報として取扱う。

→ 要配慮個人情報には含まれていない「性生活、性的指向又は労働組合に関する情報」を要配慮個人情報として取扱う。

② 日本ではGDPRにおける「データ主体の権利」を行使する場合、6か月以上の保有期間となる個人データが対象であるが、GDPRでは取得と同時に行使が可能となる。

→ EU域内からの個人データは、取得時点で保有個人データとして取扱う。

③ 日本では記録義務は第三者提供時にのみ必要となるが、GDPRでは取扱い活動全てについて記録が必要となる。

→ EU域内からの個人データの移転について取得の際の利用目的、経緯を確認し記録すると同時に、その利用目的の範囲内で取扱う。

④ 十分性認定は、EU域内の組織から日本の組織にデータ移転を行う行為が対象。

→ 日本から第三国へ移転する際には、以下の場合を除いて、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得なければならない。

(ア) 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認められる個人情報保護制度を有している国として(個人情報保護法24条による)規則で定める国にある場合。

(イ) 個人情報取扱事業者と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、本ルールを含め法と同等水準の個人情報の保護に関する措置を連携して実施している場合。

(ウ) 個人情報保護法第23条第1項各号に該当する場合。

① 法令に基づく場合、人の生命や身体又は財産の保護、公衆衛生の向上又は児童の健全な育成の推進、国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合。

⑤ 日本における匿名加工情報と、GDPRにおける匿名化は、定義が異なる。

→ EU域内からの個人データを匿名加工情報として扱うためには、GDPRにおける匿名化(=非個人情報)にする。

(ア) 加工方法等情報を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、匿名加工情報とみなす。

(イ) GDPRにおける匿名化をした場合には、非個人情報(GDPR、個人情報保護法の対象外)として扱ってもよい。


図表3 (参考)GDPRと個人情報保護法における仮名、匿名等の相違点

図表3 (参考)GDPRと個人情報保護法における仮名、匿名等の相違点

5.4 その他のデータ移転の手段
 十分性認定によるデータ移転のほか、GDPR第46条では適切な保護措置に従った移転の方法が定義されている。上記のとおり、欧州の顧客向けのサービス運用形態と十分性認定によるデータ移転が合致しないようなケースでは、下記のいずれかの方法によるデータ移転を採用することになる。

GDPR 第46条 適切な保護措置に従った移転
Article 46 Transfers subject to appropriate safeguards
1. 第 45 条第 3 項による決定がない場合は、管理者又は取扱者が適切な保護措置を提供しており、執行力あるデータ主体の権利及びデータ主体に関する効果的な法的救済が利用可能な状態である場合に限り、管理者又は取扱者は第三国又は国際機関に個人データを移転することができる。
1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. 第 1 項で定める適切な保護措置は、監督機関からの特定の認可を必要とせず、次に掲げるものによって講じられてもよい。

 a) 公的機関又は団体間の法的拘束力又は執行力のある法律文書。
b) 第 47 条に従った拘束的企業準則。
c) 第 93 条第 2 項で定める審査手続に従って欧州委員会によって採択された標準データ保護条項。
d) 監督機関によって採択され、第 93 条第 2 項で定める審査手続により欧州委員会によって承認された標準データ保護条項。
e) 適切な保護措置(データ主体の権利に関することを含む)を適用するための第三国の管理者又は取扱者の拘束力及び執行力のある公約を伴った、第 40 条による承認された行動規範。又は、
f) 適切な保護措置(データ主体の権利に関することを含む)を適用するための第三国の管理者又は取扱者の拘束力及び執行力のある公約を伴った、第 42 条による承認された認証メカニズム。
2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

 a) a legally binding and enforceable instrument between public authorities or bodies;
b) binding corporate rules in accordance with Article 47;
c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);
d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);
e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights; or
f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights.

6.越境移転の注意点

 十分性認定による越境移転は、「EU域内において管理者が適正に取得した個人データ」を、日本に移転する場合のみが対象である。日本にある管理者が直接EU域内の個人データを取得する場合は、GDPRに則る必要がある。また、普段EUに居住するデータ主体であっても来日した際に日本国内において取得する際には、GDPRではなく日本の個人情報保護法を遵守することになる。
 一方で、データ主体が日本国内外を移動した場合には、サービス等の利用について様々なパターンが考えられるため、越境移転について最初の個人データ取得への対応だけでは足りない場合がある。

図表4 個人データ取得とアクセスのパターン

図表4 個人データ取得とアクセスのパターン

 個人データを取得するパターンは、①~③、データ主体がアクセスしてくるパターンはa~cのパターンがあり、それぞれの組み合わせとなる。

①-a:来日した時点で個人データを取得しはじめ、EU域内へ戻ってからは日本国内のサービスにアクセスできない。
  → 日本国内法のみに対応。

①-b:来日した時点で個人データを取得しはじめ、EU域内に戻ってからも日本国内のサービスにアクセスが可能(個人データを取得し続ける)
  → GDPRと日本国内法に対応。

※EU域内からの個人データ取得と同じになるため、来日時の個人データ取得時にGDPRに則した対応とするか、EU域内に戻った際の最初のアクセス時にGDPR対応の手続きを行うことが求められる。

①-c:来日した時点で個人データを取得しはじめ、EU域内に戻ってからは現地の事業者によるサービスを受ける。
  → 日本国内法に対応 → EU域内ではGDPR対応

※EU域内に戻る際に、日本からEUへの越境移転が発生するが、日EU間の取決めにより、EUへのデータ移転については同意の取得などの対応は必要ないが、EU域内での個人情報の取扱いはGDPRへの対応が必要であるため、旅客がEU域内に戻った際の最初のアクセス時にあらためてGDPR対応の手続きを行う必要がある。


②-a:EU域内で個人データを取得しはじめ、EU域内に戻ってからは日本国内のサービスにアクセスできない。
  → GDPRに対応

※EU域内にいる状態から個人データを取得しはじめるため、この時点でGDPR遵守が必要であり、したがってEU域内に戻った場合にアクセス制限する意味はない。

②-b:EU域内で個人データを取得しはじめ、EU域内に戻ってからも日本国内のサービスにアクセスが可能
  → GDPRに対応

※日本から直接EU域からの個人データを取扱うことになる。

②-c:EU域内で個人データを取得しはじめ、EU域内に戻ってからは現地の事業者によるサービスを受ける。
  → GDPRに対応

※取得時点でGDPR対応となり、形式的には現地法人への越境移転とはなるが、日EU間の取決めにより、データ移転については同意取得などの対応は必要ない。


③-a:EU域内において現地法人等が個人データを取得しはじめ、EU域から日本への越境移転を行い、EU域内に戻ってからは日本国内のサービスにアクセスできない。
  → GDPRに対応

※当初からGDPR対応であるため、EU域に戻ってからのアクセス制限は意味がない。

③-b:EU域内において現地法人等が個人データを取得しはじめ、EU域から日本への越境移転を行い、EU域内に戻ってからも日本国内のサービスにアクセスが可能。
  → GDPRに対応

※当初からGDPRに対応する必要があり、EU域から日本への越境移転については十分性認定に基づき同意取得などの対応は不要である。

③-c:EU域内において現地法人等が個人データを取得しはじめ、EU域から日本への越境移転を行い、EU域内に戻ってからは現地の事業者によるサービスを受ける。
  → GDPRに対応

※当初からGDPRに対応する必要があり、EU域から日本、日本からEUへの越境移転については日EU間の取決めに基づき同意取得などの対応は不要である。

 来日した時点で個人データを取得しはじめ、EU域内に戻ってからは日本のサービスにアクセスできない場合(日本国内でのみ個人データを取得し利用する場合)、当該本人が短期間しか滞在しない場合には、日本に居住する者の場合と異なる取扱いが可能となる場合がある。
 一般的に短期の旅客者の場合、住宅地図、名簿などのように容易に照合して特定の個人を識別することができる情報は世間に存在していないと考えられる。そのため、氏名やパスポート番号など、それだけで特定の個人を識別することができる情報を取得していない場合、位置情報や購買履歴、行動履歴で個人を特定することは極めて困難であると考えられる。したがって、日本の個人情報保護法に照らした場合、個人情報としての厳格な取扱いまでは不要と考えられる。
 ただし、cookieや端末ID等の端末を識別するための情報は、プライバシーの保護の観点から、慎重な取扱いを求められているため、一定の配慮は必要である。一方で、GDPRにおいては、これらの情報も個人データとされているため、EU域内から情報を取得している場合には、個人データとして取扱うことが求められる。
 また、ePrivacy規則では、端末機器上の情報については、プライバシー保護の観点だけではなく通信の秘密をベースとする規制も加わることが想定されているため、注意が必要である。

7.考察 ~次期個人情報保護法改正への推察と提案~

7.1 データ保護のグローバル化
 2018年5月のGDPR施行は、我が国だけではなく世界各国に大きなインパクトを与えた。特に、域外適用とデータ移転に関する対応については、欧州と取引のある企業だけでなく、インターネットを活用したビジネスを行うほぼ全ての企業にとっても大きな懸念事項であると言える。企業はインターネットを大きく活用したグローバル・ビジネスを行うようになり、個人データが文字どおり地球を駆け巡り、一瞬にして様々な組織の手に渡ることが可能になったことで様々な機会創出が実現した反面、情報セキュリティの脅威という新たなリスクが表面化することとなった。そのリスクにいち早く警鐘を鳴らし、具体的な対策を要求したのがGDPRであるとも言える。GDPRの特徴は、データ保護を目的とはせず、個人の権利を尊重することとデータフリーフローにより経済発展を促すことの両面を目的とし、その手段としてのデータ保護を明確に打ち出した点にある。結果として、GDPRのアプローチは国際的にも受け入れられたと言えよう。その証拠に、GDPR施行以降に世界各国で新たに策定されたいわゆるプライバシー法の多くは、GDPRに類似したものが多い。米国では、「カリフォルニア州消費者個人情報保護法」(California Consumer Privacy Act (CCPA))が2020年に施行予定であり、ASEAN諸国においても、シンガポール、マレーシア、タイなどで個人情報保護法の改正や成立が相次いでいる。すなわち、個人データ保護やプライバシー法制のグローバル化が加速していると言えるのではないか。ビジネスだけでなく、国家の垣根にとらわれない人種や文化の交流や融合が進んでおり、プライバシーのグローバル化は、今後も継続するのではないかと考えられる。

7.2 個人情報保護法の改正に向けて
 2019年1月に欧州委員会が公表した、GDPRにおける我が国に対する「十分性認定」は、世界的にも大きく取り上げられるニュースとなった。しかし、十分性認定は一度決定された事実が継続して有効なわけではなく、決定から4年毎(今回の発表では、初回の見直しは2年後)に見直されることになっている。十分性認定により、欧州からの個人データ移転に関しては国内法の遵守により可能となったが、データの取扱いや個人の権利保証等については、GDPRと我が国の個人情報保護法を比較したとき、個人情報保護法の遵守だけでは十分ではないのではないか、という意見も少なくない。例えば、個人データの取得や取得後の個人データの取扱いに対しての本人同意に関する考え方や、個人の権利保証に対する考え方などは、個人情報保護法で定められているレベルとGDPRのそれには乖離があると指摘する有識者もいる。次期個人情報保護法の改正に向けた議論では、GDPRとの比較も大きな論点になることが予想され、GDPRを大きく意識した法改正が実施される可能性もある。2019年には、おそらく個人情報保護委員会などが中心となり、改正法の素案や法改正の方向性が示されることが予想される。グローバルなプライバシーの潮流に乗り、国際的にも評価される内容での法改正が行われることを期待したい。

7.3 個人データ保護をめぐる今後の動向
 2017年頃以降、国内外でデータ保護に関する法制度が相次いで施行されたことで、データ保護の重要性はより一層クローズアップされることとなった。特に、2018年5月のGDPR施行に際しては、国内でも個人情報保護委員会が各種ガイドラインの仮訳を公開11するなど、国内でもその対応に追われる1年となった。
 また、2017年から我が国の個人情報保護委員会も正式なメンバーとなった、データ保護プライバシー・コミッショナー会議では、データ保護は法制度に基づく義務としてだけではなく、企業倫理として取組むべきであるという提言がなされ、データ保護やプライバシー対策は人権尊重のための手段であるという方向に大きく舵を切った感がある。GDPRにおいても、個人の権利を保証するために組織が講じるべき対応について明記されており、データ保護を確実かつ適切に行うことにより、結果として個人の権利を保証するという流れは当面続くのではないかと予想される。


11 個人情報保護委員会のWebサイト
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/ にて、GDPR前文及び条文、各種ガイドラインの仮訳が公開されている。


 当協会では、引き続き国際的なデータ保護についての動向を調査し、Webサイト等を通じて紹介していく予定である。

8.参考

8.1 OECDプライバシー8原則
 GDPRも個人情報保護法も、1980年に最初の勧告が行われた、所謂「OECDプライバシーガイドライン」で提示された8原則を法令化したという点は共通しており、8原則の理解と実践を行うことは、GDPRや個人情報保護法における個人データの取扱いを適切に実行するうえで大きな助けとなるはずである。

図表5 OECDプライバシー8原則
                                                    
収集制限の原則 個人データの収集には制限を設け、いかなる個人データも、適法かつ公正な手段によって、及び必要に応じてデータ主体に通知し、又は同意を得た上で収集すべきである。
Collection Limitation Principle There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.
データ内容の原則        個人データは、利用目的の範囲内において利用し、かつ利用目的の達成に必要な範囲内で正確、完全及び最新の内容に保つべきである。
Data Quality Principle Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date.
目的明確化の原則 個人データの収集目的は、データが収集された時点よりも前に特定し、当該利用目的の達成に必要な範囲内における事後的な利用又はその他の目的での利用は、その利用目的に矛盾しない方法で行い、利用目的を変更するにあたっては毎回その利用目的を特定すべきである。
Purpose Specification Principle The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.
利用制限の原則 個人データは、第 9 項により特定された目的以外の目的のために開示すること、利用可能な状態に置くこと又はその他の方法で利用すべきではない。ただし、以下の場合はこの限りではない。                 a) データ主体の同意がある場合、又は、                 b) 法令に基づく場合。
Use Limitation Principle Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with Paragraph 9 except:                 a) with the consent of the data subject; or                 b) by the authority of law.
安全保護措置の原則   個人データは、その滅失若しくは不正アクセス、毀損、不正利用、改ざん又は漏えい等のリスクに対し、合理的な安全保護措置を講ずるべきである。
Security Safeguards Principle Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data
公開の原則
個人データの活用、取扱い、及びその方針については、公開された一般的な方針に基づくべきである。その方法は、個人データの存在及び性質に応じて、その主要な利用目的とともにデータ管理者の識別及び通常の所在地を認識できる方法によって示すべきである。
Openness Principle There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identity and usual residence of the data controller.
個人参加の原則
個人は次の権利を有する。
a) データ管理者が自己に関するデータを保有しているか否かについて、データ管理者又はその他の者から確認を得ること。
b) 自己に関するデータを保有している者に対し、当該データを
  i.   合理的な期間内に、
  ii.  必要がある場合は、過度にならない費用で、
  iii.  合理的な方法で、かつ、
  iv.  本人が認識しやすい方法で、
自己に知らしめられること。
c) 上記(a)及び(b)の要求が拒否された場合には、その理由が説明されること及びそのような拒否に対して異議を申立てることができること。
d) 自己に関するデータに対して異議を申し立てること及びその異議が認められた場合には、そのデータを消去、訂正、完全化、改めさせること。
Individual Participation Principle individuals should have the right:
a) to obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to them;
b) to have communicated to them, data relating to them
  i.  within a reasonable time;
  ii.  at a charge, if any, that is not excessive;
  iii.  in a reasonable manner; and
  iv. in a form that is readily intelligible to them;
c) to be given reasons if a request made under subparagraphs (a) and (b) is denied, and to be able to challenge such denial; and
d) to challenge data relating to them and, if the challenge is successful to have the data erased, rectified, completed or amended.
責任の原則
データ管理者は、上記の諸原則を実施するための措置を遵守する責任を有する。
Accountability Principle A data controller should be accountable for complying with measures which give effect to the principles stated above.

8.2 参考文献

  • 個人情報の保護に関する法律(平成15年5月30日 法律第57号)
    平成28年5月27日公布(平成28年法律第51号)改正 平成29年5月30日施行
    https://www.ppc.go.jp/files/pdf/290530_personal_law.pdf

  • REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
    個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)
    (原⽂)http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0001.01.ENG&toc=OJ%3AL%3A2016%3A119%3ATOC
    (当協会仮訳)http://www.jipdec.or.jp/archives/publications/J0005075

  • APEC Privacy Framework
    (原文)https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015)

  • Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data (2013)
    プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(OECDプライバシーガイドライン)
    (原文)http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf
    (当協会仮訳)https://www.jipdec.or.jp/library/archives/u71kba0000002fym-att/01.pdf