フィンランドの個人情報保護法を弁護士が解説

フィンランド共和国（以下、フィンランド）においてビジネスを展開するにあたり、最も注意を払うべき法規制の一つが個人情報保護法制です。EU加盟国であるフィンランドには、世界で最も厳格なデータ保護法の一つと評される一般データ保護規則（GDPR：General Data Protection Regulation, Regulation (EU) 2016/679）が直接適用されます。さらに、このGDPRを補完し、同国独自の事情を反映させた「データ保護法（Tietosuojalaki 1050/2018）」が制定されており、企業はこれら二つの法規制を正確に理解し遵守する義務を負います。日本の個人情報保護法と比較した場合、GDPRおよびフィンランドの国内法は、適用範囲の広さ、データ主体である個人の権利の強さ、そして企業に課されるコンプライアンス要件の厳格さにおいて、極めて大きな違いを持っています。

まず、GDPRの域外適用の原則により、フィンランド市場をターゲットとする日本企業は物理的な拠点の有無にかかわらず厳格な規制の対象となることが挙げられます。次に、適法なデータ処理の根拠となる同意の要件が日本よりも厳格であり、子供の同意年齢が13歳と明確に定められている点、そして個人識別番号の取り扱いに法律上の強い制限が課されている点に留意が必要です。さらに、データ保護影響評価（DPIA）の実施やデータ侵害時の72時間以内の通知義務、データ保護責任者（DPO）の設置など、企業はより高度な管理体制の構築を迫られます。

加えて、フィンランドには「労働生活におけるプライバシー保護法（Laki yksityisyyden suojasta työelämässä 759/2004）」という従業員のプライバシーを強力に保護する独自の法律が存在し、雇用関係における不必要なデータ収集が厳しく禁じられています。最後に、法違反に対しては高額な行政制裁金が課されるリスクがあり、実際に国営企業に対して過去最大規模の制裁金が課された事例や、欧州の各裁判所において企業のデータ管理体制を厳しく問う判決が下されていることから、実務においても極めて厳格な運用がなされているということが言えるでしょう。

本記事では、フィンランドの個人情報保護法制の全体像について、GDPRと国内法の関係性を紐解きながら、日本の法律との異同を交えて詳細に解説します。日本企業はサービス設計の初期段階からデータ保護・バイ・デザインの理念を組み込む必要があり、違反時の多額の制裁金リスクを回避するための適切な体制構築が不可欠となります。

フィンランドの一般データ保護規則と国内法の二段構造による法規制

データ保護法に基づく国家監督機関の権限

フィンランドにおける個人情報保護の基本法理は、欧州連合の一般データ保護規則によって直接的に規定されています。GDPR（一般データ保護規則）はEU全域で統一的な効力を持つ規則ですが、各加盟国に対して一定の裁量範囲を認めており、加盟国は独自の国内法によって特定の分野における法規制を補完することが可能です。フィンランドにおいては、旧個人情報法（523/1999）を廃止する形で2018年に新たなデータ保護法（Tietosuojalaki 1050/2018）が施行されました。

データ保護法はGDPRの規定を明確化し、フィンランドの国内事情に合わせた例外措置や、独自の監督機関の権限を詳細に定めています。データ保護法に基づき、フィンランドの国家監督機関としてデータ保護オンブズマン（Tietosuojavaltuutettu）およびその事務局が設置されており、データ保護規制の遵守状況の監視と執行を専門的に担っています。フィンランドデータ保護法の英訳公式テキストは、フィンランド法務省が運営する法規データベース等で広く公開されており、国外の事業者であっても容易に参照することが可能です。

参考：フィンランドデータ保護法（1050/2018）の英訳

域外適用の原則と日本企業への影響

GDPRの最大の特徴の一つが、第3条に規定される「域外適用」の原則です。日本企業がフィンランドに支店や現地法人を持たない場合であっても、フィンランド域内に所在する個人のデータを処理し、その処理がEU域内のデータ主体に対する商品やサービスの提供に関連する場合、あるいはEU域内で行われるデータ主体の行動の監視に関連する場合には、GDPRの規定が直接的に適用されます。日本の個人情報保護法においても第171条等により外国にある個人情報取扱事業者に対する域外適用の規定が存在し、日本国内にある者に対して物品または役務を提供する目的で個人情報を取得した場合には日本法が適用される建付けとなっています。

このように域外適用という概念自体は両国の法制度において共通していますが、GDPRが要求するコンプライアンスの水準は日本法と比較して著しく高くなっています。例えば、GDPRの要件を満たすために、対象となる日本企業はEU域内に法的な代理人を任命する義務（第27条）を負う場合があり、これに対する違反そのものが単独で制裁の対象となり得ます。また、データの越境移転に関しても、標準契約条項（SCC）の締結や移転先国の法制度に関するデータ移転影響評価（TIA）の実施が厳格に求められており、単に自国内の法律を遵守しているだけでは合法的なビジネス展開ができない仕組みとなっています。

フィンランドの適法なデータ処理とデータ主体の権利の厳格化

同意要件の厳格さと子供の同意年齢に関する独自の規定

日本の個人情報保護法においては、要配慮個人情報の取得や第三者への提供などの特定の場面を除き、個人情報の取得そのものについて常に本人の明示的な同意が求められるわけではなく、利用目的の通知または公表によって適法に処理することが広く認められています。一方で、GDPR第6条のもとでは、個人データの処理を行うためには常に適法な根拠が存在していなければなりません。契約の履行や法的義務の遵守、あるいは管理者の正当な利益といった根拠が適用できない場合、企業はデータ主体からの「同意」に完全に依存することになります。GDPRにおける同意は、自由かつ特定の目的への明示的で説明を受けた上での曖昧さのない意思表示でなければならず、あらかじめチェックが入ったボックスによる同意や、行動を伴わない暗黙の承諾は法的に無効とされます。

さらに、フィンランドデータ保護法第5条は、情報社会サービス（オンラインサービスやSNS、アプリケーションなど）を子供に対して直接提供する場合の同意年齢について、明確かつ独自の規定を置いています。GDPRは加盟国に対して13歳から16歳の間で同意年齢を定める裁量を認めていますが、フィンランドにおいては13歳以上であれば子供が自身の個人データ処理に対して単独で有効な同意を与えることができると定められています。13歳未満の子供のデータを処理する場合には、親権者等の保護者による同意または承認を得るための合理的な努力が企業に義務付けられます。

日本の法律においては、子供の同意能力に関して民法の未成年者取消権の解釈に委ねられる部分が多く、個人情報保護委員会によるガイドライン等で12歳から15歳程度を基準とする実務上の対応が示されているに留まりますが、フィンランドでは法律によって明確な年齢閾値が設定されている点に注意が必要です。

個人識別番号の取り扱いに関する厳格な制限

フィンランドにおける特有の要件として、個人識別番号（Henkilötunnus）の取り扱いに関する厳格な規制が挙げられます。フィンランドデータ保護法第29条は、個人識別番号の処理に関して特別な制限を設けています。個人識別番号は、法律に特別な規定がある場合やデータ主体の同意がある場合、または信用供与や債権回収、保険サービスなどの特定の目的において対象者を確実に識別することが不可欠な場合にのみ処理することが許されます。

極めて重要な点として、データ保護法第29条第5項は、個人識別番号や氏名のみを組み合わせて個人の本人確認の唯一の手段として用いることを明確に禁じています。日本のマイナンバー法も個人番号の利用範囲を社会保障や税務、災害対策などに厳格に制限していますが、フィンランドにおいても民間企業が顧客管理のために安易に個人識別番号を収集し、システム上の主要な識別子として使用することは法令違反となるリスクが高く、現地の商慣行と法規制を正確に理解したデータアーキテクチャの設計が求められます。

忘れられる権利とデータポータビリティの権利

データ主体の権利行使に関しても、GDPRは日本の個人情報保護法よりも強力かつ実効性のある権利を付与しています。日本の法律においても、保有個人データの利用停止や消去の請求権は段階的な法改正により拡充されてきましたが、GDPR第17条が定める「消去の権利（忘れられる権利）」は、同意の撤回や処理の目的が達成された場合など、より広範な要件のもとで個人データの完全な消去を企業に義務付けています。

また、GDPR第20条が定める「データポータビリティの権利」は、日本の個人情報保護法には完全な形で対応する規定が存在しない極めて重要な権利です。この権利により、データ主体は自身が提供した個人データを、構造化され、機械可読性のある一般的なフォーマットで受け取る権利を有し、技術的に可能であればある管理者から別の管理者へとデータを直接移行させることを要求することができます。フィンランドでデジタルサービスを展開する日本企業は、このデータポータビリティの要求に遅滞なく応じるための技術的・システム的な基盤をあらかじめ構築しておく必要があります。

フィンランドのコンプライアンスに基づく企業の義務

データ保護影響評価の実施と研究目的での権利制限の例外

GDPR第35条は、新たな技術を利用する処理や、個人の権利および自由に対して高いリスクをもたらす可能性のある特定のデータ処理を行う前に、企業に対して「データ保護影響評価」の実施を義務付けています。日本の個人情報保護法においては、プライバシー影響評価の実施は強く推奨される実務慣行としての位置付けにとどまっていますが、フィンランドにおいては明確な法的な義務として厳格に運用されています。

フィンランドのデータ保護オンブズマンはGDPR第35条第4項に基づき、DPIAの実施が必須となる処理作業のリストを公表しています。このリストには、データ主体の評価やスコアリングを目的とした生体認証データの処理、位置情報の処理、さらには内部告発システムにおける個人データの処理などが含まれています。企業はこれらの要件に該当する事業を展開する際、システム開発の初期段階からDPIAを実施し、潜在的なプライバシーリスクを特定して軽減措置を文書化する必要があります。

参考：データ保護オンブズマンによるDPIA必須リストに関する決定文書

さらに、フィンランドデータ保護法第31条および第32条は、公共の利益におけるアーカイブ目的、科学的・歴史的研究目的、または統計目的で個人データを処理する場合に、一定の厳格な要件のもとでデータ主体の権利（アクセス権や訂正権など）を制限できる独自の例外規定を設けています。しかし、この例外規定を援用するためには、企業や研究機関は適切な保護措置を講じる必要があり、権利を制限する場合には処理を開始する前に書面によるDPIAを作成し、データ保護オンブズマンに直接提出しなければならないという極めて厳格な手続きが義務付けられています。

データ保護責任者の設置義務に関するフィンランド特有の要件

GDPR第37条は、公的機関による処理、個人の体系的かつ大規模な監視を中核的業務とする場合、または特別の種類の個人データ（要配慮個人データ）や前科等に関するデータの大規模な処理を行う企業に対して、データ保護責任者（DPO）の設置を義務付けています。日本の法律では個人情報保護管理者の設置が実務上広く行われますが、GDPRのDPOは経営陣からの完全な独立性が担保され、職務遂行を理由とした不利益な取り扱いや解雇から保護されるなど、より強力な権限と地位が法律で保障されています。

さらに、フィンランド国内の特有の要件として、データ保護法はGDPRの要件を超え、医療や社会福祉サービスを提供する事業者など公共の利益に資する特定の業務を行う主体に対してもDPOの任命を求めています。日本企業がフィンランドにおいてヘルスケア分野や大規模な消費者データを扱うサービスを展開する場合には、現地におけるDPOの設置要件を満たしているか、またそのDPOが十分に独立した立場で機能できるかを慎重に評価する必要があります。

データ侵害発生時の厳格な通知義務

個人データの漏えい、滅失、または毀損が発生した場合の対応義務も、GDPRの下では極めて厳格に規定されています。GDPR第33条は、企業に対してデータ侵害を認識してから72時間以内に監督機関（フィンランドの場合はデータ保護オンブズマン）に通知することを義務付けています。さらに、そのデータ侵害が個人の権利と自由に対して高いリスクをもたらす場合には、データ主体本人に対しても遅滞なく個別の通知を行わなければなりません。

日本の個人情報保護法も令和2年の法改正により漏えい等の報告が義務化され、速報（おおむね3日から5日以内）と確報（30日または60日以内）の二段階報告制度が導入されましたが、GDPRの72時間ルールはより時間的猶予が少なく、また報告を怠った場合の制裁金の水準が日本の制度とは比較にならないほど高額である点に留意が必要です。

フィンランドの労働生活におけるプライバシー保護の独自法制

従業員データの必要性の原則

フィンランドにおいて企業が従業員を雇用し、その個人データを管理する場合には、GDPRや一般的なデータ保護法に加えて「労働生活におけるプライバシー保護法（Laki yksityisyyden suojasta työelämässä 759/2004）」という極めて重要かつ独自の法律が適用されます。この法律は、雇用関係における従業員のプライバシー保護に関して、世界でも類を見ないほど詳細かつ厳格な規定を設けています。日本の労働法制においては、従業員の個人情報の取り扱いに関して、個人情報保護法と関連省庁のガイドラインの枠内で比較的柔軟に運用されることが多いですが、フィンランドにおいては本法が特別法として強力な拘束力を持ちます。

労働生活におけるプライバシー保護法の根幹を成すのが「必要性の原則」です。同法によれば、雇用主は従業員の雇用関係に直接関連し、職務の遂行に不可欠な個人データのみを処理することが許可されます。ここから特筆すべきは、従業員がデータの収集に対して明示的な同意を与えた場合であっても、この「必要性の原則」を法的に回避することはできないという点です。日本の実務では、入社時に包括的な同意書を従業員から取得することで広範な人事データを収集することが一般的ですが、フィンランドでは雇用関係において従業員と雇用主の間に交渉力の不均衡があることを前提としており、同意の有効性を厳しく制限しています。

例えば、適性検査や薬物検査の実施、職場におけるカメラ監視の設置場所の制限、そして雇用主が従業員の業務用電子メールを閲覧するための極めて限定的な条件などについて、本法は詳細な手続要件を定めています。過去には、採用応募者や従業員の個人データを不必要に収集したとしてデータ保護オンブズマンが企業に対して制裁金を課した事例も存在します。その後この事例では、最高行政裁判所が調査義務と無罪の推定の原則を考慮して制裁金自体は取り消す判断を下しましたが、雇用関係における不必要なデータ収集が当局の厳格な監視対象であるという事実は揺るぎないものとなっています。

電子通信サービス法によるクッキー規制と二重監督体制

フィンランドにおける個人データの保護は、ウェブサイトやアプリケーションにおけるクッキーや類似のトラッキング技術の利用にも深く関わっています。EUのeプライバシー指令に基づくフィンランドの国内法として「電子通信サービス法（Laki sähköisen viestinnän palveluista 917/2014）」が存在し、この分野の規制を担っています。注目すべきは、クッキー同意に関する監督権限がデータ保護オンブズマンだけでなく、フィンランド交通・通信庁（Traficom）にも与えられているという二重監督体制です。

電子通信サービス法は日本の電気通信事業法等に相当する部分を含みますが、電子通信の機密性の保護義務を従来の通信事業者だけでなく、インスタントメッセージングサービスやSNSを提供するすべての電子通信サービスプロバイダーに拡大しています。Traficomは、フィンランド国内のメディア企業のウェブサイトにおけるクッキーの運用に対して、ユーザーが不可欠でないクッキーを拒否するためのメカニズムが不十分であるとして違反を指摘し、同意メカニズムの改善を命じるなど厳格な執行を行っています。

日本企業がフィンランド向けのウェブサイトを運営する場合、最初のインタラクション画面において不可欠でないクッキーに対する明確な事前同意（オプトイン方式）を取得し、ユーザーが後から容易に同意を撤回できる仕組みをシステム上に実装することが法的に義務付けられています。

参考：電子通信サービス法に基づくTraficomのクッキー規制に関する執行事例の解説

フィンランドのデータ保護法違反に対する制裁金と重要判例

国営郵便物流企業に対する高額制裁金と行政裁判所の判決

GDPR違反に対する制裁金は、企業の全世界年間売上高の最大4%または2000万ユーロのいずれか高い方が適用される可能性があり、日本企業にとって最大の法的リスクとなります。フィンランドにおいては、データ保護オンブズマンと2名の副データ保護オンブズマンで構成される「制裁委員会」が行政制裁金を課す権限を有しています。近年、この制裁委員会による法執行は活発化しており、2024年の年次報告書によれば、同年中にデータ保護違反に対して3件の行政制裁金が課されるなど法執行の厳格化のトレンドが顕著になっています。

データ保護要件の解釈と企業の義務に関するフィンランド国内の極めて重要な事例として、フィンランドの国営郵便物流会社であるPosti Group Corporationに対する法執行とそれに続く裁判所の判決が挙げられます。データ保護オンブズマンは、Postiが提供するオンラインサービス「OmaPosti」に関して、顧客からの個別の要求や同意なしに電子メールボックスを自動的に作成し、物理的な郵便物を電子サービスへ強制的に転送していたことに対して、GDPR第5条（個人データ処理の原則）、第6条（処理の適法性）、第13条（データ主体から個人データを収集する場合に提供される情報）、および第25条（データ保護・バイ・デザインおよびデフォルト）に違反したと認定しました。この結果、2024年11月13日に制裁委員会はPostiに対してフィンランド国内で過去最高額となる240万ユーロの行政制裁金を課す決定を下しました。

参考：データ保護オンブズマンによるPostiへの制裁金決定に関する公式プレスリリース

しかし、Postiはこの決定を不服としてヘルシンキ行政裁判所に提訴しました。ヘルシンキ行政裁判所は2025年11月3日に判決を下し、240万ユーロの行政制裁金についてはこれを取り消す決定を行いました。一方で、裁判所はOmaPostiサービス内での個人データの処理において、顧客に対する透明性のある情報提供が決定的に不足していたというデータ保護オンブズマンからの譴責措置についてはこれを強く支持しました。この判決から、フィンランドの裁判所はデータ保護当局による多額の制裁金決定に対して厳格な司法審査を行う一方で、企業に対するデータ保護・バイ・デザインの要件や顧客への透明性の確保というGDPRの基本原則の遵守については一切の妥協を許さないということが言えるでしょう。

参考：Postiに対する行政裁判所の判決に関する同社の公式プレスリリース

従業員によるデータアクセスの開示に関する欧州司法裁判所の判決

フィンランド発のデータ保護に関する事案で、欧州司法裁判所（CJEU）の判断を仰ぐことになった画期的な判例も存在します。2023年6月22日に下された判決（Case C-579/21 J.M. v Pankki S）では、フィンランドの銀行の従業員であり同時にその銀行の顧客でもある原告が、自身の顧客データにアクセスした従業員の身元を開示するよう銀行に求めた事案が争われました。CJEUはこの判決において、データ主体が自身のデータに誰がアクセスしたかというログデータ自体も「個人データ」としてアクセス権（GDPR第15条）の対象に含まれるとする極めて広範な解釈を支持しました。

ただし、CJEUは同時にこの権利は絶対的なものではなく、アクセスを行った従業員の権利や自由との間で利益較量を行う必要がある旨も判示しました。日本の個人情報保護法における開示請求権の枠組みでは、システム上のアクセスログや従業員の身元情報までが本人の個人データとして無条件に開示対象となるかについては実務上議論の余地がありますが、GDPRの下ではこのように個人データの定義が極めて広く解釈され、従業員モニタリングやアクセスログの管理体制が直接的に法的責任と結びつく点に細心の注意を払う必要があります。

参考：欧州司法裁判所の判決（Case C-579/21）に関する法的解説

表現の自由とデータ保護の衝突に関する欧州人権裁判所の判決

また、個人のプライバシー権と表現の自由のバランスに関する歴史的な判例として、欧州人権裁判所（ECtHR）の大法廷が2017年6月27日に下したSatakunnan Markkinapörssi OyおよびSatamedia Oy対フィンランド事件の判決があります。フィンランドの国内裁判所は、120万人規模の個人の課税データを雑誌およびSMSサービスで大量に公開した企業に対して、データ保護法に基づく違法性を認定し、将来にわたる大量公開を禁じました。

企業側はこれを表現の自由に対する重大な侵害であるとして提訴しましたが、欧州人権裁判所はフィンランド当局による制限は個人のプライバシーを保護するという正当な目的を追求したものであり、表現の自由とプライバシー権の間に公正なバランスをもたらしたとして合法であると結論付けました。このように、フィンランドの司法制度は報道や表現の自由を尊重しつつも、大規模な個人データの営利目的での処理に対してはデータ保護法を厳格に適用する姿勢を明確にしています。

参考：欧州人権裁判所大法廷判決（Satakunnan Markkinapörssi Oy and Satamedia Oy v. Finland）の公式文書

まとめ

フィンランドにおいてビジネスを行う日本企業にとって、現地の個人情報保護法制は単なる法務上のチェック項目を超え、ビジネスモデルそのものを左右する重大な要件です。本記事で解説した通り、GDPRの直接適用による域外適用ルールの存在により、物理的な拠点がなくともフィンランド市場にサービスを提供する企業は厳格な法規制の対象となります。適法なデータ処理においては、日本よりもはるかに厳格な同意の取得要件が求められ、特に子供の同意年齢がデータ保護法によって13歳と明確に規定されている点や、個人識別番号の取り扱いに強い制限が課されている点に留意しなければなりません。さらに、データ保護影響評価の実施、データ侵害発生後72時間以内の通知義務、そして要件を満たした場合のデータ保護責任者の設置など、企業はより高度で透明性の高い管理体制の構築を迫られます。

加えて、フィンランドには従業員のプライバシーを強力に保護する「労働生活におけるプライバシー保護法」が存在し、同意の有無にかかわらず不必要なデータ収集が禁じられる「必要性の原則」が徹底されています。また、電子通信分野においてはデータ保護オンブズマンと交通・通信庁による二重監督体制が敷かれ、クッキーの利用に関しても厳格な事前同意が求められます。近年、当局による行政制裁金の実績が蓄積されており、Postiに対する過去最大規模の制裁金事例や、欧州司法裁判所および欧州人権裁判所の判決に見られるように、司法および行政の双方が企業のサービス設計における透明性と適法性を極めて高い水準で要求しています。このことから、フィンランド進出にあたっては、日本の実務感覚をそのまま持ち込むのではなく、初期段階から現地の法規制に適合したデータ保護・バイ・デザインを実践することが不可欠であるということが言えるでしょう。

モノリス法律事務所では、フィンランドをはじめとする欧州市場へのビジネス展開やサービス提供を検討されている企業様に対して、現地の個人情報保護法やGDPR対応に関する包括的な法務サポートを行っております。言語や法体系の根本的な違いに起因する法的リスクを未然に防ぎ、安全かつ適法なグローバルビジネスを推進するための実践的なアドバイスを提供し、企業様の海外展開をサポートいたします。