ポーランドの個人情報保護法を弁護士が解説

欧州連合（EU）の東部に位置し、近年著しい経済成長を遂げているポーランド共和国（以下、ポーランド）は、多くの日本企業にとって製造拠点やIT開発のハブとして、また有望な市場としてその重要性を増しています。しかし、同国におけるビジネス展開において、経営上の最大のリスク要因の一つとして浮上しているのが、極めて厳格な「個人情報保護」の法執行体制です。ポーランドはEU加盟国であるため、その個人情報保護法制の中核を成すのは「一般データ保護規則（GDPR）」ですが、その適用と解釈は各国の監督機関に委ねられる部分も多く、ポーランドの監督機関である「個人情報保護庁（UODO）」は、欧州内でも屈指の厳格な法執行を行う機関として知られています。

2025年、ポーランドでは企業のコンプライアンス体制を根底から揺るがすような行政処分が相次ぎました。大手金融機関であるING Bank Śląskiに対しては、マネーロンダリング対策（AML）の一環として行われた身分証スキャンが「過剰なデータ収集」にあたるとして約430万ユーロ（約1,840万ズウォティ）もの巨額な制裁金が科されました。また、マクドナルド・ポーランドにおけるデータ漏洩事案では、外部委託先のサーバー設定ミスが原因であったにもかかわらず、委託元である同社に対して約400万ユーロ（約1,690万ズウォティ）の支払いが命じられました。さらに、医療機関において医師の私有車が盗難に遭いカルテが流出した事案では、物理的な盗難被害者であるはずの医療機関が、リスク分析の不備を理由に処罰されています。

これらの事例が示唆するのは、日本の個人情報保護法（APPI）への対応だけでは、ポーランドにおける法的リスクを回避することは不可能であるという現実です。日本の法律が「事業者の自主的な取り組み」や「事後的な改善」を重視する傾向があるのに対し、ポーランドの法執行は「説明責任（Accountability）」と「プライバシー・バイ・デザイン」の欠如に対して、巨額の金銭的ペナルティをもって臨む懲罰的な側面を強く有しています。

本稿では、2025年の最新事例を詳細に分析し、日本の経営者や法務担当者が理解すべき法的な差異と、実務上の対応策について、現地の法令および監督機関の決定に基づき網羅的に解説します。

ポーランドにおける個人情報保護法制の基本構造

ポーランドにおけるデータ保護の法的基盤は、EU法であるGDPRと、それを補完する国内法によって構成されています。日本企業が現地で活動する際には、これら二層の法規制を理解する必要があります。ポーランドにおける個人情報保護に関する主要な法源は、2018年5月25日に施行されたEUの一般データ保護規則（Regulation (EU) 2016/679、以下「GDPR」）です。GDPRは「指令（Directive）」ではなく「規則（Regulation）」であるため、ポーランドの議会による国内法化の手続きを経ることなく、そのまま国内法としての効力を持ちます。これは、企業の規模や所在地にかかわらず、ポーランド国内の居住者のデータを取り扱うすべての事業者に適用されます。

GDPRが日本企業にとって特に脅威となるのは、その制裁金の規模です。違反の性質に応じて、「1,000万ユーロまたは全世界年間売上高の2%」あるいは「2,000万ユーロまたは全世界年間売上高の4%」のいずれか高い金額が行政制裁金として科される可能性があります。日本のAPPIでは、命令違反に対する刑事罰としての罰金（法人に対して最大1億円）が存在しますが、GDPRの制裁金は行政罰であり、その金額規模は桁違いに高額です。2025年にポーランドで発生したING銀行やマクドナルドの事例は、この「最大4%」という規定が理論上の脅威ではなく、現実の経営リスクであることを証明しています。

また、ポーランドではGDPRを補完するために「2018年5月10日制定の個人情報保護法（Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych）」が施行されました。この法律によって設立された個人情報保護庁（Prezes Urzędu Ochrony Danych Osobowych、以下「UODO」）は、企業のオフィスへの立ち入り検査権限や、文書提出命令権限を持ち、違反が確認された場合には是正命令とともに高額な制裁金を科す権限を有しています。

日本法（APPI）とポーランド法（GDPR）の構造的差異

ポーランド進出を検討する日本企業が最も陥りやすい誤解は、「日本の個人情報保護法を遵守していれば、概ね問題ないだろう」という認識です。両法制は「個人の権利利益の保護」という目的こそ共有していますが、その達成手段と企業に課される義務の厳格さにおいて、決定的な違いが存在します。以下の表は、主要な論点における日本法とポーランド法（GDPR）の比較です。

日本の実務では、プライバシーポリシーで利用目的を公表し、それに同意をもらう（あるいはサービス利用開始をもって同意とみなす）手法が一般的です。しかし、GDPR下では「同意」は最も脆弱な法的根拠と見なされることがあります。なぜなら、同意はいつでも撤回可能であり、撤回された瞬間にデータ処理を停止しなければならないからです。

ポーランドの実務では、従業員データや顧客データの処理において、同意ではなく「契約の履行（Article 6(1)(b))」や「管理者の正当な利益（Article 6(1)(f))」を根拠とすることが推奨されるケースが多くあります。ただし、「正当な利益」を根拠とする場合は、事前に「利益考量（Balancing Test）」を実施し、企業の利益が個人の権利自由を上回ることを文書化しておく必要があります。

また、GDPRはデータ主体に対して強力な権利を付与しています。特に「忘れられる権利（Right to be forgotten）」は、データが当初の目的のために不要になった場合や同意が撤回された場合に、管理者が遅滞なくデータを削除する義務を負うもので、インターネット上の検索結果の削除まで求められる場合があります。さらに「データポータビリティの権利」により、ユーザーは自らが提供したデータを機械可読性のある形式で受け取り、競合他社へ移行させることが可能です。これは顧客の囲い込みを防ぐ競争法的な側面も持ち合わせており、日本のAPPIにはない概念です。

ポーランド事例研究：UODOによる法執行の厳格化と企業リスク

2025年にUODOが下した一連の決定は、ポーランドにおけるデータ保護コンプライアンスの難易度が一段と高まったことを示しています。以下に、具体的な事例を通じて、どのような行為が処分の対象となるのかを解説します。

ING Bank Śląski事件とデータ最小化原則

2025年8月26日、UODOはING Bank Śląskiに対し、GDPR違反を理由として1,840万ズウォティ（約430万ユーロ）の制裁金を科しました。同銀行は、マネーロンダリングおよびテロ資金供与対策法（AML法）に基づく義務を履行するためとして、顧客の身分証明書（IDカード）をスキャンし、そのコピーをシステムに保存していました。この慣行は2019年4月から2020年9月まで続き、対象となった顧客数は数百万人規模に及びました。

銀行側はこれらのデータ収集はAML法に基づく正当な業務であると主張しましたが、UODOの判断は異なりました。調査の結果、銀行がAMLリスクの個別の評価を行わず、リスクが低い、あるいはAML法上の義務が生じない場面（例：ATMの不具合に関する苦情対応など）においても、一律に身分証のスキャンを求めていたことが発覚しました。UODOは、AML法は身分証のコピーを許可しているものの、それは「金融セキュリティ措置の適用が必要な場合」に限られると指摘しました。個別のリスク分析を行わず、画一的にすべての顧客のIDをコピーすることは、必要性の原則を逸脱しており、GDPR第5条1項(c)の「データの最小化（Data Minimization）」原則および第6条1項の「適法性」違反にあたると認定されました。

この事例から、「法令遵守（コンプライアンス）のためのデータ収集であっても、それが自動的にGDPR上の適法性を保証するわけではない」という重要な原則が読み取れます。日本企業においても、契約時や本人確認時に「念のため」免許証のコピーを取る慣行が見られますが、ポーランドにおいては、その行為が「真に必要不可欠か」を常に厳密に検証しなければなりません。

この決定に関するUODOの公式発表は以下のURLで確認することができます。

資料：UODO公式ウェブサイト

マクドナルド・ポーランド事件と委託先管理責任

2025年7月、UODOはマクドナルド・ポーランドに対し1,690万ズウォティ（約400万ユーロ）、同社の委託先であるPR会社（24/7 Communication）に対し約18万ズウォティの制裁金を科しました。マクドナルド・ポーランドは、従業員の勤務スケジュール管理システムを外部のPR会社に委託していましたが、サーバーの設定ミス（Misconfiguration）により、従業員やフランチャイズ加盟者の個人データ（氏名、PESEL番号、パスポート番号、勤務時間など）を含むファイルがインターネット上で誰でもアクセス可能な状態になっていました。

この事案では、データ管理者（Controller）であるマクドナルドの責任が厳しく問われました。マクドナルドは委託先とデータ処理契約（DPA）を締結していましたが、契約に含まれていた監査権や検査権を実際には行使していませんでした。UODOは、契約書があるだけでは不十分であり、管理者が委託先の技術的・組織的対策を実質的に監督していなかったことが、GDPR第28条および第32条の違反にあたると判断しました。また、システムの選定やリスク分析のプロセスに、データ保護責任者（DPO）が関与していなかったことも、リスクの見落としにつながったと指摘されました。

この決定に関するUODOの公式発表は以下のURLで確認することができます。

資料：UODO公式ウェブサイト

医療機関におけるデータ漏洩と物理的セキュリティ

2025年8月、UODOはある民間医療機関に対し、32,832ズウォティ（約9,000ドル）の制裁金を科しました。往診中の医師が使用していた私有車が盗難に遭い、車内に保管されていた患者8名分のカルテ（医療記録）が紛失した事案です。

UODOは、盗難という犯罪被害に遭った医療機関を「被害者」としてではなく、「情報の管理者として不適格」として処罰しました。医療機関はデータ保護のリスク分析を行っていましたが、その対象は院内システムなどに限定されており、「医師が私有車で個人情報を持ち運ぶ」という現実の業務プロセスにおけるリスクが見落とされていました。院外でのデータ取り扱いに関する具体的な手順（例：トランクへの保管義務、車内放置の禁止、持ち出し記録の作成など）が策定されておらず、単に「注意すること」といった抽象的な規定に留まっていたことが、GDPR第32条（処理の安全性）違反と認定されました。

この決定に関するUODOの公式発表は以下のURLで確認することができます。

資料：UODO公式ウェブサイト

ポーランドの労働法および特定分野における留意点

ポーランドの国内法には、GDPRを補完する形で特定の分野に関する詳細な規定が存在します。特に人事労務管理においては、ポーランドの労働法（Kodeks pracy）を遵守する必要があります。

労働法における従業員データの取り扱い

ポーランドの労働法は、雇用主が従業員から収集できるデータの範囲を厳格に制限しています。採用候補者からは氏名、生年月日、連絡先、学歴、職歴、資格などを収集できますが、採用後には住所、PESEL番号、銀行口座番号（給与振込用）、家族構成（社会保障の申請に必要な場合）などに範囲が拡大されます。

重要な点として、「犯罪歴（Criminal Record）」の確認は、金融セクターなど法律で明示的に認められた特定の職種を除き、原則として禁止されています。日本のように採用時に「賞罰」を確認したり、無犯罪証明書の提出を求めたりすることは、ポーランドでは違法となる可能性が高いため注意が必要です。

職場におけるモニタリングの規制

労働法は、職場におけるモニタリング（監視）についても詳細なルールを定めています。電子メールやPCのモニタリングは、「労働時間の完全な利用」や「業務ツールの適切な使用」を確保するために必要な場合に限り認められますが、通信の秘密を侵害してはなりません。CCTV（ビデオ監視）については、従業員の安全確保、財産保護、生産管理、秘密保持のために必要な場合に認められますが、トイレ、更衣室、食堂、喫煙所、労働組合活動室への設置は、厳格な条件下での例外を除き禁止されています。

また、モニタリングを導入する場合、雇用主は少なくとも開始の2週間前には従業員に通知する義務があります。さらに、就業規則等において、モニタリングの目的、範囲、方法を明記する必要があります。

まとめ

ポーランドにおける個人情報保護法制は、UODOという強力な監視機関の存在と、GDPRの直接適用により、世界でも最高水準の厳格さで運用されています。2025年に発生した一連の巨額制裁事例は、法令遵守の形式的な対応を超えて、企業が「データ最小化」や「説明責任」といった原則を業務プロセスの深部にまで浸透させる必要があることを強く警告しています。日本企業がポーランドの成長市場で成功を収めるためには、この法的環境をリスクとして恐れるだけでなく、高い信頼性を担保するための基盤として積極的に取り組む姿勢が不可欠です。

本テーマに関する法的対応は、条文の解釈のみならず、UODOの最新の執行傾向や現地のビジネス慣習を踏まえた総合的な判断が求められます。モノリス法律事務所では、貴社のポーランドにおけるビジネスモデルに即したリスク分析、社内規程の策定、委託先契約のレビュー、さらには万が一のインシデント対応に至るまで、実効性のあるサポートを行います。複雑化する国際データ保護規制への対応を、貴社の持続可能な成長のための強固な基盤とするため、ぜひご相談ください。