はじめに
近年、様々な場面においてプライバシーに配慮する動きが強くなってきています。
その背景の一つとして、EUにおけるプライバシー法である、GDPRが施行された影響を受け、世界各国でプライバシーに関する取り決めを見直す取り組みが活発になっていることが挙げられます。
本記事では、GDPRについて解説します。
この規則は、EUによって起草され、可決された、世界で最も厳しいプライバシー及びセキュリティ法とも言われています。
GDPRとは
GDPRとは、欧州連合(EU)に居住する個人からの個人情報の収集と処理に関するガイドラインを定めた法的枠組みのことです。
このGDPRとは「General Data Protection Reguration」の略称であり、これは日本語に直すと「一般データ保護規則」を意味します。
この規則は、ウェブサイトの拠点に関係なく適用されるため、特にEU居住者向けに商品やサービスを販売していなくても、EUからの訪問者が訪れる可能性のあるすべてのサイトは、この規則を遵守しなければなりません。また、サイトは、個人データが侵害された場合のタイムリーな通知など、EUの消費者の権利を促進するための措置を取る必要があります。
なお、GDPRは、2016年に発効し、2018年5月25日の時点で、すべての組織が準拠が求められるようになりました。
GDPRが発効された背景
GDPRの背景には、EUの高いプライバシーリテラシーが存在します。
プライバシーの権利に関して、1950年のEU人権条約の中で、「誰しもが、自分と家族の生活のプライバシーを尊重して取り扱うことのできる権利を持つ」と定められています。これを根拠とし、EUは法律を通じてこの権利の保護に努めてきました。
技術が進歩し、インターネットの技術が発達していくにつれて、プライバシー保護に関する取り決めも、常に最新に保つことが求められました。そのため、1995年にEUデータ保護指令が作成され、データプライバシーおよびセキュリティの基準が定められました。
その後、2012年1月には、再度インターネットの発達に伴い、欧州委員会は、EU全体のデータ保護改革に着手しました。それから約4年後、その内容と施行方法について合意に達し、この改革の重要な要素の一つとして、GDPRの導入がなされました。
この新しいEUの枠組みは、EU全ての加盟国に適用され、EU全域、さらにはEU外の企業や個人にも影響を与えています。
GDPRの主要な規制ポイント
GDPRの適応範囲
まず、適応範囲の整理をします。
EU加盟国に、EU非加盟国であるノルウェー、アイスランド、リヒテンシュタインの3ヵ国を加えた欧州経済領域のことをEEAをいいます。GDPRはこのEEA全域を対象とした規則です。
EEA域内に存在する全ての個人データを処理する場合、またはそのような人々に商品やサービスを提供する場合、EEA領域外にいる場合でもGDPRが適用されます。

ペナルティ
次に、GDPRに違反した場合の罰金は非常に高くなります。ペナルティには2つの段階があり、最大で2,000万ユーロまたは世界全体でのその企業の収益の4%(どちらか高い方)になります。さらに、データ主体は損害賠償を求める権利があります。
なお、過去の高額制裁金の事例は以下の記事にて紹介しています。
GDPRにおける用語の定義
GDPRは、それぞれの法的用語を詳細に定義しています。以下ではその一部を紹介します。
- 個人データ
個人データは、直接的または間接的に識別できる個人に関連する情報です。名前とメールアドレスをはじめ、位置情報、民族、性別、生体データ、宗教的信念、Web Cookie、および政治的意見と言った情報も個人データである可能性があります。偽名のデータは、そのデータから誰かを識別するのが比較的簡単な場合にも、定義に該当する可能性があります。
- データ処理
自動、手動にかかわらず、データに対して実行される演算処理のことを指します。例えば、収集、記録、整理、構造化、保存、使用、消去などが含まれます。
- データ主体
企業や組織によって処理される、データを生み出した対象者を指します。例えば、企業活動においては、顧客またはサイト訪問者のことを表します。
- データ管理者
個人データを処理する理由と方法を決定する人物を指します。データを処理する組織においてやは、幹部社員や、実際の業務を担当する社員が該当します。
データ保護の原則
データを処理する場合は、以下の原則に従ってデータの処理を実行する必要があります。
- 合法性、公平性、透明性
処理は合法的で、公正で、データ主体に対して透明がある、つまり、第三者にもはっきりと説明できる状況でなければなりません。
- 目的の制限
データを収集した際、データ主体に伝えた目的に則ってデータを処理する必要があります。
- データの最小化
データ主体に伝達した目的に必要な最小量のデータのみを収集して処理する必要があります。
- 正確性
個人データを正確かつ最新の状態に保つ必要があります。
- ストレージの制限
個人を特定するデータは、データ主体に伝えた目的の実行のために必要な期間のみ保存可能です。
- 整合性と機密性
データの処理は、適切なセキュリティ、整合性、および機密性を確保するような方法で実行する必要があります。例えば、暗号化を使用することなどが挙げられます。
- 説明責任
データ管理者は、これらすべての原則に対するGDPRへの準拠を実証できるように常に準備しておく責任があります。
データ取扱者
GDPRが適用されるデータ取扱者には、「処理者」と「制御者」の2種類があります。それぞれの定義は以下です。
管理者は、個人データの処理の目的と手段を単独または共同で決定し、処理者とは、管理者に代わって個人データを処理します。
データ保護責任者
主に以下のいずれかに当てはまる場合、データ保護責任者(DPO)を任命する必要があります。
- 処理が公的機関、または団体によって行われる場合
- 管理者または処理者の中心業務が、大規模にデータ主体の定期的かつ系統的な監視を必要とする取り扱い作業である場合
- 管理者または処理者の中心的業務が、第9条で言及された特別な種類のデータ及び第10上で定められる有罪判決及び犯罪に関する個人データを大規模に取り扱う場合
- EU法、または加盟国の国内法でDPOの選任が義務付けられている場合
全体をまとめると、大規模でかつ継続的に個人データの処理や移転を行う場合にはDPOの選任は必要不可欠であると言えます。
ただし、必要がない場合でも、DPOを指定することを選択することもできます。
GDPRの顧客サービス要件
GDPRの規則に則って顧客サービスを提供する際に遵守する必要がある要件は以下です。
- ユーザは、サイトが収集するデータについて通知され、同意ボタンをクリックするなどして、その情報収集に明確な同意の意思を表示する必要があります。
- サイトが保有する個人データが侵害された場合、サイトは、直ちにユーザにその旨を通知する必要があります。しかし、暗号化などを用いてデータをサイトの攻撃者が使用できないようにしていた場合には、通知しなくても良い場合があります。。
- サイトのデータセキュリティの評価をすることが必要です。先ほど説明した、DPOを雇う必要があるのか、従業員がデータセキュリティの評価を実行できるのかを確認することが求められます。
- サイト訪問者が、そのサイトがGDPRに遵守しているかどうかを確かめられるよう、DPOをはじめとするセキュリティ責任者に連絡が取れるような仕組みを整えておく必要があります。
- ユーザを保護するため、ユーザの個人情報を匿名化したり、仮名化したりすることが求められます。
GDPR に関連する論争
GDPRは一部の方面で批判を集めています。顧客サービスを提供する際に、DPOを任命しなければならないという要件は、一部の企業に過度な管理上の負担を強いるものであるとも言われています。また、従業員のデータをどのように扱うのが最善かについてのガイドラインが曖昧すぎるとの不満もあります。
さらに、データを受け取る側の企業がEUが要求するのと同程度の保護を保証しない限り、データをEU域外の他国に転送することはできません。このため、データの転送においてもコストがかかってしまい、苦情が寄せられています。
加えて、GDPRに関連したコストが時間の経過とともに増加するという懸念もあります。また、EU内外のデータ保護機関がどのようにして規制の施行と解釈を調整し、GDPRが本格的に施行される際に公平な競争の場を確保することができるのかについても懐疑的な見方があります。
まとめ
本記事では、GDPRについて解説しました。
- GDPRとは、EUに居住する個人からの個人情報の収集と処理に関するガイドラインを定めた法的枠組みのことである。
- インターネットの変化に伴い、EUデータ保護指令が更新されたことによってGDPRが導入された。
- GDPRは、 EU外にいる場合であっても、EU内の個人データを処理する場合やEU内の個人に商品やサービスを提供する場合には適応される。
- GDPRに違反した場合、最大2000万ユーロ または 世界全体でのその企業の収益の4%のどちらか高い方を罰金として支払う必要がある。
- 大規模かつ継続的に個人データの処理や移転を行う場合には、データ保護責任者(DPO)を設置する必要がある。
- GDPRに対応するためにかかるコストの影響などから、一部批判が出ている。