アイスランドの個人情報保護法を弁護士が解説

アイスランド共和国（以下、アイスランド）は、欧州連合（EU）の加盟国ではありませんが、欧州自由貿易連合（EFTA）および欧州経済領域（EEA）の加盟国として、EUの単一市場に統合されています。これに伴い、EUの厳格なデータ保護枠組みである一般データ保護規則（GDPR）が、アイスランド国内法「個人データの保護および処理に関する法律（Act No. 90/2018）」（以下「アイスランド法」または「本法」）として完全に施行されています。

日本企業がアイスランドに進出する場合、あるいはアイスランド居住者に物品やサービスを提供する場合、日本の個人情報保護法（APPI）への対応だけでは不十分です。GDPRの基準に加え、アイスランド独自の法的要件を理解する必要があります。特に、死者の個人データが保護対象となる点、国民ID番号（Kennitala）の利用に厳格な制限がある点、および児童のデジタル同意年齢が13歳に引き下げられている点は、日本法と大きく異なる特徴です。また、違反時には高額な行政制裁金に加え、個人の刑事責任（拘禁刑）が問われる可能性もあります。

本稿では、アイスランド法の法的枠組み、日本法との重要な差異、近時の注目すべき判例、および日本企業が講ずべき実務的対応について、詳細に解説します。

アイスランドの法制度とGDPRの位置付け

アイスランドにおけるデータ保護の基本法は、2018年7月15日に施行されたAct No. 90/2018 on Data Protection and the Processing of Personal Data（アイスランド語：Lög um persónuvernd og vinnslu persónuupplýsinga）です。

EEA協定とGDPRの直接的影響

アイスランドはEEA協定に基づき、EUの規則（Regulation）を国内法として取り込む義務を負っています。したがって、アイスランド法はGDPRの条文を実質的にそのまま国内法体系に組み込んでいます。これにより、データ主体の権利（アクセス権、削除権など）、管理者・処理者の義務、データ侵害時の72時間以内の通知義務などは、EU諸国と全く同等の基準が適用されます。

監督機関：Persónuvernd

法の執行を担うのは、独立した監督機関であるPersónuvernd（Data Protection Authority）です。Persónuverndは、調査権限、是正命令権限、および制裁金を科す権限を有しており、公的機関や民間企業に対して活発な監視活動を行っています。

参考：アイスランド個人情報保護当局 (Persónuvernd) (アイスランド語・英語)

アイスランド法と日本法の主要な違い：適用範囲と定義

日本企業が最も注意すべき点は、GDPRの枠組みの中でアイスランドが独自に規定した「逸脱」や「追加」の部分です。ここでは日本法との差異が際立つポイントを解説します。

死者の個人データの保護

日本の個人情報保護法では、原則として「生存する個人」の情報のみが保護対象ですが、アイスランド法は死者の個人データも保護の対象としています。

本法第4条に基づき、死者のデータも死後5年間は法の適用を受けます。特に、遺伝情報や健康データなど「機密（confidential）とみなされるのが合理的」な情報については、5年を超えて保護期間が延長される場合があります。

国民ID番号（Kennitala）の利用制限

アイスランドでは、すべての国民および居住者に「Kennitala（ケニタラ）」と呼ばれる10桁のID番号が付与されています。これは日本のマイナンバーに相当しますが、日常生活（銀行、医療、携帯電話契約など）で広く利用されています。しかし、その利用は本法第13条により厳格に規制されています。

• 客観的な目的（Objective Purpose）：単なる利便性ではなく、ID番号を使用することに正当かつ客観的な理由が必要。
• 識別の必要性：名前や住所など他の手段では安全な識別が困難な場合に限り利用可能。

日本企業が顧客データベースを構築する際、安易にKennitalaを主キーとして収集・利用することは、「必要性の原則」に違反するリスクがあります。

アイスランドにおける児童の同意年齢とセンシティブデータ

デジタル同意年齢の引き下げ（13歳）

GDPR第8条は、情報社会サービス（SNS、アプリ、オンラインゲーム等）の利用に関する児童の同意年齢を原則16歳としつつ、加盟国による引き下げを認めています。アイスランドは、本法第10条第5項において、この年齢を13歳に設定しています。

• 13歳未満：親権者の同意または許可が必要。
• 13歳以上：児童本人の同意のみでデータ処理が可能。

日本企業が未成年者向けアプリ等を展開する場合、ユーザーの年齢確認（Age Verification）プロセスにおいて、アイスランド居住者には13歳という基準を適用するようシステムを設計する必要があります。

センシティブデータの拡張（日本法との比較）

日本法における「要配慮個人情報」に加え、アイスランド法（GDPR第9条）では、以下のデータ処理が原則禁止されています（明示的な同意などの例外を除く）。

• 労働組合への加盟
• 性生活または性的指向に関するデータ
• 遺伝データおよび生体データ（個人を識別する目的の場合）

特にアイスランドは、deCODE genetics社による国民規模の遺伝子解析研究で知られるように、遺伝データの取り扱いには極めて敏感です。

アイスランドの具体的な判例：レイキャビク市「Seesaw」事件

アイスランドにおけるデータ保護の厳格さを示す重要な事例として、教育用アプリ「Seesaw」の利用を巡るレイキャビク市と監督機関の対立が挙げられます。

事件の概要

レイキャビク市は、市内の学校で米国製の学習プラットフォーム「Seesaw」を導入しました。しかし、Persónuvernd（監督機関）は、以下の点においてGDPRおよび本法違反があるとして、2022年に市に対し500万アイスランド・クローナ（ISK）の制裁金を科しました。

1. 処理の適法性：児童のデータを処理するための明確な法的根拠または有効な同意が欠けていた。
2. データ処理契約の不備：ベンダー（Seesaw社）との契約内容がGDPR第28条の要件を満たしていなかった。
3. 海外移転：米国へのデータ移転に伴うリスク評価が不十分であった。

最高裁判所の判断（2024年）

この処分を不服として市は提訴し、事案は最高裁判所（Hæstiréttur Íslands）まで争われました。2024年12月、最高裁判所はPersónuverndの決定の一部（制裁金の賦課）を取り消す判決を下しました。

• 判決のポイント：裁判所は、市によるGDPR違反の事実は認めつつも、具体的な実害が生じた証拠がない点や、制裁金の手続き的側面を考慮し、制裁金の支払いを命じた行政処分を取り消しました。
• 日本企業への示唆：この判決は「違反しても良い」という意味ではありません。むしろ、教育や児童に関するデータ処理においては、たとえ公的機関であっても厳格なコンプライアンスが求められること、そしてプロセッサ（委託先）としてのベンダー選定責任が厳しく問われることを示しています。

参考：【事例】アイスランド当局、レイキャビク市に500万ISKの制裁金 (DataGuidance / 英語)

アイスランドで日本企業が留意すべきデータ移転ルール

日EU十分性認定と「補完的ルール」

アイスランド（EEA）から日本への個人データ移転は、日本とEU間の「十分性認定」に基づき、原則として自由に行うことができます。しかし、日本企業は、個人情報保護委員会が定める「補完的ルール」を遵守する必要があります。

参考：【PDF】十分性認定に基づきEUから移転される個人データの取扱いに関する補完的ルール（英文） (PPC Japan)

罰則規定：行政制裁金と刑事罰

アイスランド法の実効性は、重い罰則によって担保されています。

1. 行政制裁金：GDPRと同様、最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方。
2. 刑事罰（拘禁刑）：ここが日本法との大きな違いです。本法では、重大な違反行為に対して、最大3年の懲役刑が科される可能性があります。対象には法人の役員や従業員も含まれ得るため、経営陣にとってのリスクは金銭的なものにとどまりません。

まとめ

アイスランドの個人情報保護法制は、GDPRのグローバルスタンダードを基盤としつつ、死者のデータ保護やID番号の厳格管理といった独自の規定を有しています。特に、13歳というデジタル同意年齢や、教育・児童データに対する監督機関の厳しい姿勢は、EdTechやゲーム、SNS関連のビジネスを展開する日本企業にとって重要な考慮事項です。

日本企業は、単に「GDPR対応済み」とするのではなく、アイスランド特有の要件（Act No. 90/2018）を反映したプライバシーポリシーの策定や、Kennitalaの取り扱いに関するシステム設計の見直しを行う必要があります。また、日本へのデータ移転に際しては、補完的ルールに基づくセンシティブデータの拡張管理が不可欠です。モノリス法律事務所では、GDPRおよび各国の国内法施行規則への対応を含め、クロスボーダーなデータコンプライアンスに関する法務サポートを行っております。貴社の欧州展開におけるリスク低減のために、ぜひご相談ください。