執筆者:弁護士 池辺健太
1.多くの企業が対応未了?
EUの個人情報保護ルールであるGDPR(一般データ保護規則)は、その施行から1年が経ちました。巨額の制裁金等のリスクがあるため、EUビジネスに関わる企業は対応を急ぎましたが、2019年5月、日本の主要100社のうち45%が対応を終えていない、という報道が出されたところです。
今回は、GDPR対応への対応について、なぜ日本企業に遅れが生じているのか、また、EUの個人又は法人と取引のある企業にかかる適用可能性や、どういったところから対応を始めるべきか、という点について情報提供をさせていただこうと思います。
2.そもそも何をすればいいのか情報が入手しづらい
GDPR対応について、なぜ日本企業に遅れが生じているのかについては、そもそも何をすればいいのか情報が入手しづらい、というのが理由の1つであるように思えます。
日本の個人情報保護法は、2003年と、比較的、近い時期に成立した法律ではありますが、それ自体は日本の法律であり、多くのガイドライン、通知、ウェブサイトでの情報、当局への問合せ等によって、遵守すべき内容についての情報収集は可能でしたし、難しいものではありませんでした。2000年に消費者契約法が導入された際や、会社法施行(2006年)等の場合も同様に、対応は必要でしたが情報収集の難しさはそれほどありませんでした。
ところがGDPRは、日本の企業にも適用されるものでありながら、海外の法律であるため、日本の企業にとって情報収集が容易ではない状況にあります。日本の個人情報保護委員会は、法律自体や主要ガイドライン等について日本語訳を提供しているのですが、それらはあくまでも外国資料の翻訳に過ぎず、弁護士ら法律家にとっては役に立つものでありますが、それ以上の情報は簡単には入手できない(入手できても、その情報が確かなものであるか、判断が容易ではない)状況にあります。
またGDPRは、日本の個人情報保護法とはかなりの点で異なっており、誤解を恐れずにいうならば、個人情報保護法よりもかなり厳しい規則です。そのため日本企業にとって、個人情報保護法についての理解が充分であり、それに対応ができていれば、あとは他言語対応さえ進めれば、GDPRのような海外の法律についても問題ない、という状況にはないのです。
以上のような状況から、日本企業はGDPRの規制情報を積極的に収集し、分析して、何をすればいいのかというタスクまで落とし込み、また実行する必要があるのですが、そもそも国外の規制情報を収集し、分析すること自体について、実は日本企業は全く慣れていなかった、という事情が明るみに出ているのではないでしょうか。
上記で述べた、日本企業は国外の規制情報の収集、分析に慣れていない、というのは、個人レベルではなく、組織レベルでの話です。例えば法務部や情報セキュリティ部門等、GDPRについて見聞きしている部門の担当者には、規制についての情報があり、情報収集、分析の必要性や、そのためにかけるべきコストについて理解があると思われます。しかし、対応やコスト支出の判断をすべき経営層には、その必要性が伝わっていない、ということが多いのではないかと推察します。
仮にそのような「情報不足」がGDPR対応への遅れを招いているのであれば、弁護士を含む法律家が情報提供の役割を怠ってきた結果、ともいえるところです。せめて本稿において、わずかながらでもGDPRの規制情報をお届けできればと思います。
3.自社が適用される可能性があるかチェックする
まず、GDPRについて自社に適用の可能性があるかをチェックすることが必要です。
EU域外の企業であっても適用可能性があり、多額の制裁金のリスクもあるのがGDPRですが、適用の範囲については「地理的適用範囲に関するガイドライン」が公表されています(個人情報保護委員会のウェブサイトに翻訳もあります。)。
概要としては、大きく分けて、拠点基準と標的基準において、適用の可否が定められています。
一定の拠点(ただし、子会社等に限定されるものではなく、現地に法人がないので拠点がないと判断するのは早計です。)を有しているとされる場合、拠点の活動に関連して個人データの処理が行われていればGDPRの適用があります。
さらに、いくつかの考慮要素のもと、EU(EEA)域内の個人データ主体を標的として(ターゲットとして)サービスの提供等がなされている、と判断される場合にも適用があることとなります。
なおBtoBのビジネスのみを行っている場合についても、適用は否定できないものです。
以上の観点から、自社のEUへの関わり方を検討して、まずは自社への適用可能性を確認する必要があります。
4.適用のため進めるべきタスク
適用可能性を確認した上で、多額の制裁金やコンプライアンス上のリスクがあるという結論に至るのであれば、GDPRの遵守事項を確認し、そこから自社がなすべきタスクへと落とし込むことが必要です。
企業のプライバシポリシーを公表するウェブページに、新たに「EU域内の方向け」又は「GDPRに関する」新たなプライバシポリシー又はプライバシポリシーへの追加記載が付記されているのを見たことはないでしょうか。これがまず思い浮かぶタスクの1つ、「EU所在者向けの情報提供」です。
GDPRは、個人に対する一定の情報提供を義務付けているため、企業は顧客等に提供すべき情報を一箇所にまとめ、表示する必要があります。これまでの日本企業におけるプライバシポリシーは、日本の個人情報保護法に応じて作成されていますので、追加的対応が必要となるのです。
他にもGDPRの適用上、個人データの取扱いは、一定の適法化根拠なしには許されませんので、個人データの取得時に同意を得る必要はあるか、必要がある場合、その手順(特にウェブサイトにおいて、適正な方法で同意を得る形になっているか。)等をすべて確認し直す必要があります。
またGDPRの規制により、個人データにかかる処理の記録という、一定のドキュメントを作成しておく必要もあります。
上記の他にも多くタスクがありますが、一つ一つ、対応の完了に向けて法的リスクに対処していくことが大切です。自社は対応を終えていない「45%」ではないか、再確認と検討をお勧めします。
(2019年8月執筆)
- 東京、福岡、上海、香港、シンガポール、ホーチミン、ハノイの世界7拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
- 本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。
