GDPR in comparison with the Japanese Personal Information Protection Act
目次
- GDPRの効力
- GDPRの適用範囲
- パーソナルデータ(personal data)の範囲
- パーソナルデータを処理する正当性(lawfulness of processing)
- データ主体の権利
- EU域外へのパーソナルデータの移転(パーソナルデータ輸出)
- 管理者(controller)及び処理者(processor)の義務
- パーソナルデータ漏洩時の措置~72時間ルール
- 同意有効年齢
- 権利救済
- 制裁金(administrative fines)、刑事罰
1. GDPRの効力
EU regulationであるGDPRは、EU(European Union)の各加盟国における国内法化の手続きを要することなく、全加盟国で法的拘束力を有します。
2. GDPRの適用範囲
(1)管理者(controller)又は処理者(processor)の拠点の所在地に基づく適用範囲の決定
GDPRは、個人情報保護法における個人情報取扱事業者に相当する管理者(controller)に加えて、処理者(processor)を規制対象としています。管理者(controller)は、パーソナルデータの処理の目的と手段を決定する者を指します(Article 4(7))。処理者(processor)は、管理者のためにパーソナルデータを処理する者を指します(Article 4(8))。
管理者又は処理者のEU内に存在する拠点(安定的に配置された事業施設又は人員)に関連してパーソナルデータが処理される場合(処理される場所がEU内であるか否かを問わない)には、当該処理にGDPRが適用されます(Article 3, Paragraph 1)。
(2)データ主体の所在地に基づく適用範囲の決定(域外適用)
下記(a), (b)のいずれかに該当するときには、EU内に拠点を持たない管理者又は処理者によるEU内に所在するデータ主体のパーソナルデータの処理にGDPRが適用されます(Article 3, Paragraph 2)。
(a) EU内に所在するデータ主体に向けて商品又はサービスを提供するとき(無償の提供であってもよい)
(b) データ主体のEU内での行動を監視するとき
このような個人情報保護規制の域外適用は、GDPR独自のものではありません。日本個人情報保護法も、日本国内に拠点を持たずに外国で、日本国内に所在する者に対する物品又は役務の提供に関連して直接的に又は間接的に(他の事業者から個人情報を受領して)日本国内に所在する者の個人情報を取り扱う事業者に域外適用されます(個人情報保護法171条)。
GDPRでは、EU内で国境を越えたパーソナルデータの処理(クロスボーダー処理)が行われる場合、管理者又は処理者の主たる拠点が所在する国の監督機関(supervisory authority)が、主たる監督機関(lead supervisory authority)となり、クロスボーダー処理の監督をします。管理者及び処理者がEU内に拠点を持たない場合、原則に戻り各加盟国の監督機関が自国におけるパーソナルデータ処理の監督をします。そうすると、各監督機関にとって、小規模案件となるため、GDPR違反を調査する動機が弱くなるかもしれないです。
(3)EU代理人指名義務
GDPRは、域外適用される企業、すなわちArticle 3, Paragraph 2(データ主体の所在地に基づく適用範囲の決定)により適用対象企業とされる域外企業に対し、EU代理人を指名する義務を課しています(Article 27)。
3. パーソナルデータ(personal data)の範囲
下記(a), (b)のいずれかに該当する、自然人であるデータ主体(data subject)を特定できる情報がGDPRの対象である「パーソナルデータ」※となります。
(a) 直接的にデータ主体を特定できる情報(それ自体から直接、データ主体を識別できる情報) ex. 氏名・住所、ID番号等の自然人を直接的に特定する識別子を含む情報
(b) 間接的にデータ主体を特定できる情報(それ自体から直接、データ主体を識別できないが、他の情報を参照することにより間接的に識別することができ、かつその参照がなされる合理的可能性がある情報)
GDPRでは、IPアドレス、Cookieのようなオンライン識別子(online identifier)を含む情報が間接的にデータ主体を特定できる情報に該当し得ることが明記されています。ただし、この点はGDPR独自の規定とは言えません。オンライン識別子と他の情報とを組み合わせることにより間接的にデータ主体を特定することができるのであればパーソナルデータ/個人情報になるという点では、日本個人情報保護法と相違しません。
GDPRの備考26(Recital 26: Not Applicable to Anonymous Data)は、他の情報と組み合わせることにより間接的にデータ主体を特定することができるか否かの判断要素として、データ主体を特定するために要する費用・時間とパーソナルデータを処理した当時の技術水準に鑑みデータ主体を特定するために利用されるであろう合理的な手段の存在を挙げています。
※ [パーソナルデータ] GDPRにおける“personal data”は、日本個人情報保護法における「個人データ」とは異なります。日本個人情報保護法における「個人データ」は、個人情報のうち「個人情報データベース等」(特定の個人情報を容易に検索することができるように体系的に構成されたデータベースであって、既に公知になっているものは除かれる)を構成するものを意味します。これに対し、GDPRにおける“personal data”は、データベースを構成するものに限られません。混同を避けるために、本項では、GDPRにおける“personal data”を「パーソナルデータ」と呼びます。
4. パーソナルデータを処理する正当性(lawfulness of processing)
日本個人情報保護法においては、個人情報取扱事業者は、基本的に、通知/公表した利用目的の範囲内で自由に個人情報を処理することができます。これに対し、GDPRは、パーソナルデータを処理するためには、Article 6(1)所定の正当性(lawfulness of processing)がなければならないと規定しています。すなわち、パーソナルデータを処理するためには、下記(a)-(f)のいずれかの正当性が立証される必要があります。
(a) データ主体の同意(後述する同意有効年齢の制限があります。また、撤回されると、後述のデータ主体による消去権の対象になります。)
(b) データ主体が締結した契約における義務の履行をするために、又は契約締結準備過程でデータ主体の要求に応えるためにデータ処理が必要であること
(c) EU法又はEU加盟国の国内法における法的義務を遵守するためにデータ処理が必要であること(Recital 45)
(d) 自然人の生命を保護するためにデータ処理が必要であること
(e) EU法又はEU加盟国の国内法における公的業務を遂行するためにデータ処理が必要であること
(f) 管理者又は第三者の正当な利益を追求するためにデータ処理が必要であること(ただし、データ主体の基本的権利又は基本的自由の保護を優先させるべき場合、及び管理者が公的機関である場合を除く)
5. データ主体の権利
(1) アクセス権(right of access by the data subject)
日本個人情報保護法におけるデータ主体による開示請求の対象は、当該データ主体が識別される保有個人データ自体の開示に限られます(日本個人情報保護法33条1項)。保有個人データとは、個人情報取扱事業者がコントロールしている個人情報であって、特定の個人情報を容易に検索することができるように体系的に構成されたデータベース(既に公知になっているデータベースは除かれる)を構成するものを意味します。
GDPRでは、データ主体に、より広範なアクセス権が与えられています(Article 15)。具体的には、GDPRでは、データ主体は、自分のパーソナルデータが処理されたか否か開示するよう請求することができ、さらに、処理されていた場合、そのパーソナルデータ自体に加えて、次の事項を開示するよう請求することができます。特に、GDPRにおけるアクセス権の対象には、パーソナルデータの提供元(管理者がどこからパーソナルデータを収集したのか?)に関する情報が含まれます。
(a) パーソナルデータ処理の目的
(b)パーソナルデータのカテゴリー
(c) パーソナルデータの開示先のカテゴリー
(d) パーソナルデータの見込み保存期間
(e) パーソナルデータの訂正若しくは消去又は処理制限を要求する権利、及びパーソナルデータ処理に対して異議を申し立てる権利の存在(これらはGDPRで規定されている権利です)
(f) 監督機関に対して苦情を申し立てる権利(これもGDPRで規定されている権利です)
(g) パーソナルデータの提供元がデータ主体自身ではない場合、パーソナルデータの提供元に関する情報
(h) 自動化された意思決定(automated decision-making)の存在の有無、存在する場合は、そのロジックとかかる処理がデータ主体にもたらすであろう結果
(2) 訂正権(right to rectification)
日本個人情報保護法においては、訂正権の対象は保有個人データ(特定の個人情報を容易に検索することができるように体系的に構成されたデータベース(既に公知になっているデータベースは除かれる)を構成するもの)に限定されており、また保有個人データの内容が事実でないときのみ訂正・追加が認められます(日本個人情報保護法34条1項)。
GDPRにおいては、訂正権の対象はパーソナルデータすべてです。また、GDPRにおいては、データ主体は、自己のパーソナルデータの情報が不完全であるとき、当該情報が事実に反するか否かを問わず、それを補完して完全なものにする権利を有します(Article 16)。
(3) 消去権(忘れられる権利):right to erasure (right to be forgotten)
日本個人情報保護法においては、消去権の対象は保有個人データ(特定の個人情報を容易に検索することができるように体系的に構成されたデータベース(既に公知になっているデータベースは除かれる)を構成するもの)に限定されており、また保有個人データの内容が事実でないときのみ削除が認められます(日本個人情報保護法34条1項)。
GDPRにおいては、消去権の対象はパーソナルデータすべてです。また、GDPRにおいては、次のいずれかの消去事由がある場合には、データ主体から消去要求を受けた管理者はパーソナルデータを消去する義務を負います(Article 17)。
(a) パーソナルデータを保持する必要性がなくなったこと
(b) パーソナルデータを処理する正当性(lawfulness of processing)の根拠であるデータ主体の同意が撤回されたこと
(c) データ主体がArticle 21, Paragraph 1の異議権を行使し、かつデータ主体による異議よりも優先すべきパーソナルデータ処理の正当理由がないこと、あるいはデータ主体がArticle 21, Paragraph 2の異議権を行使したこと
(d) 正当でないパーソナルデータの処理が行われたこと
(e) EU法又は加盟国の国内法上の消去すべき法的義務があること
(f) パーソナルデータがInformation society service(インターネット販売、SNS等、商業的電子通信サービスであって、顧客のリクエストに応じて提供されるもの)の提供に関連して収集されたこと
(4) データポータビリティー権(Right to data portability)
データポータビリティー権は、日本個人情報保護法では規定されていない、GDPR特有の権利です。
データポータビリティー権は、データ主体が、管理者に提供したデータを標準的なフォーマットの電子データの形で受領し、さらには管理者からその他の業者に当該電子データを直接引き渡させる権利です。ただし、データポータビリティー権の対象となる電子データは、管理者によりコンピュータ処理されたものに限られます(Article 20, Paragraphs 1, 2)。
(5) 異議権(Right to object)
(i) Article 6, Paragraph 1 (e), (f) 所定のパーソナルデータを処理する正当性(lawfulness of processing)の根拠に対する異議
上述のとおり、Article 6, Paragraph 1 (e) は、パーソナルデータを処理する正当性(lawfulness of processing)の根拠として、EU法又はEU加盟国の国内法における公的業務を遂行するためにデータ処理が必要であることを挙げています。また、Article 6, Paragraph 1 (f) は、パーソナルデータを処理する正当性(lawfulness of processing)の根拠として、管理者又は第三者の正当な利益を追求するためにデータ処理が必要であること(ただし、データ主体の基本的権利又は基本的自由の保護を優先させるべき場合、及び管理者が公的機関である場合を除く)を挙げています。Article 6, Paragraph 1 (e)又は(f)記載の事由がパーソナルデータを処理する正当性の根拠であった場合には、データ主体はこれらの正当性の根拠に対して異議を申し立てる権利を有します。この異議が申し立てられた場合、管理者は、データ主体の利益よりも優先すべきデータ処理の必要性があること、又は権利行使若しくは防御のために必要であることを立証しない限り、パーソナルデータの処理を中止しなければなりません(Article 21, Paragraph 1)。
(ii) ダイレクトマーケティングへの利用に対する異議
パーソナルデータがダイレクトマーケティングに利用されているとき、当該データ主体は、管理者及び処理者に対して、ダイレクトマーケティングへの利用を停止するよう要求する権利を有します(Article 21, Paragraph 2)。この異議が申し立てられた場合、管理者は、パーソナルデータの処理を中止しなければなりません(Article 21, Paragraph 3)。
Article 21の異議権は、GDPR独自の権利です。
(6) 自動処理のみによる決定の対象とされない権利(Article 22)
データ主体は、自動処理のみによる決定(decision based solely on automated processing)であってデータ主体に法的効果に匹敵する影響を及ぼすものの対象にならない権利を有します。データ主体の同意なくこのような自動処理決定が許される場合はありますが、極めて限定的です。
Article 22の自動処理のみによる決定の対象とされない権利は、GDPR独自の権利です。
6. EU域外へのパーソナルデータの移転(パーソナルデータ輸出)
(1) 十分性認定がなされた第三国へのパーソナルデータ輸出
日本個人情報保護法28条1項における「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」に相当する十分性認定がなされた第三国(十分なレベルの個人情報保護がなされているとEUにより認定された国)へは、データ主体の承諾がなくても、パーソナルデータ輸出をすることができます(Article 45)。
日本は、2019年に十分性認定がなされています。
(2) 標準契約条項(SCCs: EU Standard Contractual Clauses)に基づくパーソナルデータ輸出
パーソナルデータ輸出先の国でデータ主体の法的救済制度が整備されている限り、管理者又は処理者は、受領者との間で標準契約条項(SCCs: EU Standard Contractual Clauses)を含む契約を締結することにより、データ主体の承諾がなくても、パーソナルデータ輸出をすることができます(Article 46)。標準契約条項(SCCs: EU Standard Contractual Clauses)は、EUがArticle 46, Paragraph 2(c)に基づき採択した契約条項モデルです。
日本においても、日本個人情報保護法28条1項・個人情報の保護に関する法律施行規則16条1号によると、日本個人情報保護法第四章第二節の規定の趣旨に沿った契約の締結(「相当措置」の整備)により個人データ輸出についてデータ主体の承諾を得る義務から免責されると考えられます。GDPRは、かかる免責に使用されるモデル契約書を明示している点で日本個人情報保護法より一歩踏み込んだ免責条件を規定しています。もっとも、標準契約条項(SCCs: EU Standard Contractual Clauses)は、若干の修正をすることにより、日本個人情報保護法28条の「相当措置」の整備に流用されることができます。
7. 管理者(controller)及び処理者(processor)の義務
(1) 開示義務
日本個人情報保護法では、個人情報取扱事業者は、保有個人データ(特定の個人情報を容易に検索することができるように体系的に構成されたデータベース(既に公知になっているデータベースは除かれる)を構成するもの)について、利用目的、苦情申立先、及び自社に対して開示請求権(日本個人情報保護法33条)を行使する手続(手数料の額を含む)を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く義務を負います(日本個人情報保護法32条、個人情報の保護に関する法律施行令10条)。利用目的については、個人情報を取得する際に、データ主体に通知されるか公表される必要があります(日本個人情報保護法21条1及び2項)。
GDPRでは、パーソナルデータ利用の透明性を確保するために、管理者は、下記に例示される所定の情報を、データ主体自身からパーソナルデータを取得する場合はそのときに、その他のソースからパーソナルデータを取得する場合には取得後1か月以内に、データ主体に提供し、その後も公開・開示する義務を負います(Articles 12-14)。データ主体に情報を提供する手段として、privacy policyの公開が考えられます。
- 管理者の連絡先
- パーソナルデータを利用する目的
- パーソナルデータを処理する法的根拠(legal basis)
- パーソナルデータの保持期間又は保持期間を決定する基準
- 自動処理の有無、自動処理のロジック、及び自動処理がもたらすであろう結果
- パーソナルデータの提供元(パーソナルデータの提供者がデータ主体ではない場合)
(2) 記録保存義務
日本個人情報保護法は、個人データを第三者に提供した個人情報取扱事業者に、提供日と受領者を含む記録を作成・保存することを義務付けています(日本個人情報保護法29条)。また、日本個人情報保護法は、個人データを第三者から受領した個人情報取扱事業者に、受領日、提供元、及び提供元による個人データ取得の経緯を含む記録を作成・保存することを義務付けています(日本個人情報保護法30条)。
GDPRは、従業員250人以上の管理者に対して、データ保護オフィサーの氏名、処理目的、パーソナルデータ輸出等の所定の項目を含むパーソナルデータ処理活動について記録作成・保存する義務を課しています(Article 30, Paragraph 1)。また、GDPRは、従業員250人以上の処理者に対して、管理者に代わり実行したパーソナルデータ処理の活動について記録作成・保存する義務を課しています(Article 30, Paragraph 2)。
日本個人情報保護法では記録保存義務者はすべての個人情報取扱事業者であるのに対し、GDPRでは、従業員250人未満の会社は、原則として記録保存義務から免責されます(Article 30, Paragraph 5)。
8. パーソナルデータ漏洩時の措置~72時間ルール
日本個人情報保護法では、個人情報取扱事業者は、個人データを漏洩する事故を起こしたときには、当該事故を個人情報保護法保護委員会に報告すると共にデータ主体に通知する義務を負います(日本個人情報保護法26条)。ただし、この報告・通知義務が発生する漏洩事故は、要配慮個人情報(心身の機能の障害、健康診断結果、治療履歴、刑事手続が行われたこと、又は少年法の手続が行われたこと)が漏洩したおそれがあるとき、不正利用されることにより財産的被害をもたらす個人データが漏洩したおそれがあるとき、漏洩が不正目的行為に起因するおそれがあるとき、又は1000人以上のデータ主体の個人データが漏洩したおそれがあるときに限定されます(個人情報の保護に関する法律施行規則7条)。
GDPRでは、管理者は、パーソナルデータを漏洩する事故を起こしたときには、発覚時から72時間以内に監督機関(supervisory authority)に事故を報告する義務を負います(Article 33)。日本個人情報保護法では漏洩事故発生の報告が必要な場合は限定されているのに対し、GDPRでは、漏洩事故発生の報告が不要な場合が、漏洩事故が自然人の権利と自由を害するとは考えられない場合に限定されています。
9. 同意有効年齢
個人情報保護法は、同意についての有効年齢を規定していません。そのため、児童のみから同意を得た場合、その同意が有効か否かは個別判断されることになります。なお、個人情報保護委員会は、一般的には 12 歳から 15 歳までの年齢以下の子どもについては法定代理人から同意を得る必要がある旨の見解を示しています。
GDPRでは、パーソナルデータを処理する正当性(lawfulness of processing)の根拠(Article 6)がデータ主体の同意であり、当該処理が情報社会サービス(information society services)に関連する場合、同意有効年齢は16歳とされています。すなわち、16未満の児童が同意するときには、その親権者の同意を要します。ただし、加盟国は、独自に、更に低い同意有効年齢(13歳以上)を法定することができます。情報社会サービス(information society services)とは、インターネット販売、SNS等、商業的電子通信サービスであって、顧客のリクエストに応じて提供されるものをいいます。
10. 権利救済
日本法においては、個人情報保護法違反についてデータ主体がとりえる法的措置は、裁判所での訴訟・仮処分のみです。
これに対し、自己のパーソナルデータの処理がGDPRに違反すると考えるデータ主体は、自己の所在国又は違反行為が実行された国の監督機関に苦情(complaint)を申し立てることができます(裁判所に上訴可能)(Articles 77-78)。多くの監督機関がホームページ上にオンライン苦情申立窓口を設置しています。そのため、データ主体は比較的容易にGDPR違反の苦情を申し立てることができます。このような行政ルートでの法的措置に加えて、GDPR上の権利を侵害されたと考えるデータ主体は、自己の所在国又は被告(the controller or processor)の所在国の裁判所に司法救済(effective judicial remedy)を申し立てることができます(Article 79(2))。
11. 制裁金(administrative fines)、刑事罰
監督機関は、GDPRに違反した管理者又は処理者に対して、2000万ユーロ又は世界事業売上げ(前会計年度1年分)の4%のどちらか高い方を最高額とする制裁金を課すことができます(裁判所に上訴可能)(Article 83)。この制裁金は、違反の重大性と事業規模によっては、非常に高額になる可能性があります。高額制裁金の例として、ルクセンブルクの管理機関(Luxembourg National Commission for Data Protection)は、2021年7月16日に、Amazon Europe Core S.a.r.l.に対して、データ主体の適切な同意なく行われたターゲティング広告について、7億4600万ユーロの制裁金を課す決定をしました。
制裁金以外の刑事罰(penalties)は、加盟国の国内法で定められます(Article 84)。
/以上
コメント