GDPRとは?個人情報保護法との比較や日本企業が意識すべきポイントを解説
EU域内への事業展開を行うにあたっては、GDPR(一般データ保護規則)について網羅的に知っておく必要があります。EU域内に拠点を持たない日本の企業にGDPRが適用される場合もあります。GDPR・個人情報保護法についての基礎知識を得て、適切なデータ管理を行いましょう。
この記事では、GDPRについて、日本の個人情報保護法との比較や、日本企業が留意すべきポイントは何かについて説明します。「データ保護に関する規則を変更する必要があるのかを検討している」「EUへ事業展開するために対策すべき法律を知りたい」と考えている法務担当の方はぜひ参考にしてください。
この記事の目次
GDPR(EU一般データ保護規則)とは
「GDPR(General Data Protection Regulation)」とは、日本では「一般データ保護規則」とも呼ばれる、ヨーロッパ連合(EU)が定める個人データ取扱い(個人情報保護)に関する規則のことです。
EU域内での個人データの扱いに関して厳格な基準を設け、個人のプライバシー保護を強化することを目的としています。
個人情報の保護という観点から、企業や組織がどのようにデータを取り扱うべきか、そして個人が自身の情報をどのように保護できるかについての基準を提供しています。
参考:個人情報保護委員会|「一般データ保護規則(GDPR)仮日本語訳」
GDPRの基本原則は、以下の通りです。
- 適法性・公正性・透明性
- 目的の限定
- データの最小化
- 正確性
- 記録保存の制限
- 完全性・機密性
基本原則のそれぞれについて、以下で説明します。
適法性・公正性・透明性
GDPRの基本原則として筆頭に挙げられるのが、適法性・公正性・透明性です。
事業者が個人データを収集・処理する際は、法的に正当な根拠があることを前提とし、当事者に対してその処理がどのように行われるかを分かりやすく伝える必要があります。
また、事業者は、プライバシーに関する情報を明示的に提供し、当事者がデータがどのように取り扱われるかについて理解し、コントロールできるよう透明性を保つことが重視されます。
利用目的の限定
利用目的の限定とは、データの収集や処理が特定の明確な目的のために行われるべきであることを意味します。
個人データを取得する事業者は、その目的を正確かつ具体的に当事者に対して示して、明確な同意を得る必要があります。そして、事業者には収集したデータに関して、データ主体から同意を得た目的以外での使用を制限し、厳格に管理することが求められます。
個人データの最小化
個人データの収集は、目的を達成するために必要な範囲に限定(最小化)されるべきです。要求された目的に適した範囲でのみ個人データを収集し、余分な個人情報は収集しないようにします。
これにより、保持される個人データの量が最小限に抑えられ、個人のプライバシーが守られます。
正確性
GDPRの基本原則として、個人データは正確でなければなりません。不正確な個人データは修正され、最新かつ正確な情報を維持するための措置が講じられるべきです。
これにより、個人の権利と利益が守られ、正確な情報に基づいて個人データ処理が行われます。
記録保存の制限
GDPRの基本原則には、記録保存の制限という概念があります。目的が達成されて不要になった個人データは、速やかに削除されるべきです。
不要になった個人データを保存しないことで、個人データの適切な管理とプライバシーの保護を実現します。
完全性・機密性
個人データは完全であり、機密性が守られなければなりません。個人データは改ざんや損失から保護され、不正アクセスから守るための適切な対策が講じられるべきです。
これにより、個人データの信頼性が向上します。
EU域内の企業だけでない?GDPRの適用範囲
GDPRが適用されるのは、EU域内の企業だけではありません。日本の企業が適用対象になる場合もあります。GDPRが適用される企業の対象として、以下の4つについて説明します。
| GDPRが適用される企業の対象 | 概要 |
| EU域内に拠点がある企業|「管理者」 | データ処理の目的や手段を定め、データの所有権を持っている組織を管理者という。 例えば、EU内に本社や支社を持つ企業が該当する。 管理者は、データの適法かつ透明な処理を確保する責任を持つ立場となる。 |
| EU企業から個人データ処理の委託を受けている企業|「処理者」 | EU域内の企業が別の企業にデータ処理を委託する場合、委託を受けた企業は「処理者」としてGDPRの対象となる。 処理者もまた、データの安全性や適法な処理を確保する責任を負う。 |
| EU域内の個人に商品やサービスを提供している企業 | オンラインショップやウェブサービスを提供する企業が該当する。 提供される商品やサービスに関連するデータの取り扱いは、GDPRの基準に準拠する必要がある。 |
| EU域内の個人を監視する企業 | 監視とは、特定の個人の行動や状態を長期間にわたって追跡することを指す。 例えば、監視カメラやオンラインでの行動のトラッキングを行う企業が該当し、データの適法な取り扱いが求められる。 |
GDPRが適用される企業は、データの適法かつ透明な処理、安全性の確保、およびGDPRの基準への準拠を求められます。
GDPRにおける個人データの取り扱い
GDPRは個人データの取り扱いについて、プライバシー保護とデータ流通の枠組みを提供しています。
| この規則の目的および原則は、基本的権利および自由を保護すること、特に個人のプライバシーを尊重し、個人データの自由な流通を促進することを確実にすることにある(GDPR第4条)。 |
GDPRは個人データのコントロールと尊重を保護しつつ、データ流通を促進し、適切な管理で信頼性を確保します。
そのためには、データ処理の透明性と企業の責任意識が重要であり、企業は規則に基づいてデータを適切に扱うことが求められます。
GDPRには他に以下のような条文があります。
| GDPRの適用を受ける企業が、個人データの「取扱い」をする際には、原則として本人の同意が必要です(GDPR第6条第1項(a))。 |
| 管理者は、個人データの取扱いについて本人が同意している事実を、証明できるようにしておく必要があります(GDPR第7条第1項)。 |
| また本人は、個人データの取扱いに関する同意を、いつでも撤回することが可能です(GDPR第7条第3項)。 |
なお、本人の同意がなくても、個人データの「取扱い」が認められるケースがあります。具体的な例は以下の通りです。
- 本人が契約当事者となっている契約の履行に必要な場合
- 本人との契約締結前に、本人の要求に際して手段を講じるために必要な場合
- 管理者が法的義務を遵守するために必要な場合
- 本人又は他人の生命に関する利益を保護するために必要な場合
- 公共の利益のために、又は公的な職務の遂行のために必要な場合
- 管理者や第三者の正当な利益の目的のために必要な場合(本人の権利・利益・自由との比較衡量が必要)
GDPRにおける個人データに関する主な権利
GDPRでは、個人データの主体には、主に以下の権利が認められています。
- 個人データにアクセスする権利
- 個人データの訂正や消去を求める権利
- 個人データの利用制限を求める権利
- 個人データの取扱いについて異議を述べる権利
個人データの主体には、自分の情報を提供者がどのように使用しているかを理解する権利があります。情報が不正確または不適切に使用されていると感じた場合には、訂正や消去を求められるほか、使用の一時的な停止や、異議の申し立てが可能です。
GDPRにおける個人データに関する主な責任
個人データ主体に上記の権利が認められている一方で、個人データを収集・処理する企業は主に以下の責任を負います。
- GDPRに沿った個人データの取扱いシステム・人的体制を整備する責任
- 個人データの取扱いに関する記録を取る責任
- 個人データ侵害時に対応する責任
個人データが適切に保護されるために、企業が負うこれらの責任は重要です。
また、個人データに関しては、全てのデータ処理活動が適切に記録されることが、必要な場合にレビューを行うためにも不可欠といえます。
個人データの侵害が発生した場合は、企業は、適切な措置を講じ、関係者に通知する責任があります。
GDPRに違反した場合
管理者または処理者がGDPRに違反してデータ主体に損害を与えた場合には、損害賠償を請求される可能性があります(GDPR第82条第1項)。
さらに、GDPRの違反は厳しい結果をもたらす可能性があります。例えば、違反行為に対しては、GDPRの第83条に基づく措置としてEUから制裁金が科されることがあります(GDPR第83条)。
GDPRと個人情報保護法の違い
GDPRと個人情報保護法の違いは、主に次の通りです。
- 保護対象
- 個人データが侵害された時の対応
- 代理人の設定について
- 違反した場合の罰則
以下で、詳しく解説します。
保護対象
GDPRと個人情報保護法では、保護の対象となるデータが異なります。GDPRは、EU域内で処理される個人データを広範囲にわたり保護します。EU域内に拠点を持つ企業だけでなく、EU域内の個人に商品やサービスを提供する企業も対象です。
一方で、個人情報保護法の保護対象は国や地域によって異なります。
例えば、日本の個人情報保護法は国内で処理される個人情報を対象とし、保護の対象は基本的に国内に限定されます。
個人データが侵害された時の対応
GDPRと個人情報保護法では、個人データが侵害された時の対応に違いがあります。
GDPRでは、データ侵害が発生した場合、企業は72時間以内に監督機関に通報する義務があります。また、個人データの主体にも迅速かつ明示的に通知する責任があります。
個人情報保護法においても、データ侵害が発生した際は速やかに通知することが求められますが、報告義務の期限や通知内容は国や地域によって異なります。
代理人の設定について
GDPRと個人情報保護法では、代理人の設定に関するルールが異なります。
GDPRでは子どもの個人データの処理において、親や法定代理人の同意が必要です。また、オンラインサービスを提供する企業が16歳未満の子どもの個人データを取り扱う際には、親の同意が必要となります。
個人情報保護法も同様に、子どもの個人情報の取り扱いには法定代理人の同意が必要ですが、年齢の設定や同意の取得方法は法令によって異なります。
違反した場合の罰則
GDPRと個人情報保護法の違いとして、違反した場合の罰則の違いも挙げられます。
GDPRでは違反行為に対して、最大で企業全体の年間売上高の4%または2,000万ユーロの制裁金が科される可能性があります。
個人情報保護法の罰則は国や地域により異なりますが、一般的には罰金や法的責任が課せられることが特徴です。罰金の額は、違反の内容や重大性により変動します。
GDPRに対して、日本企業が対策すべきポイント
以下に当てはまる企業は、GDPRの対策が必要です。
- EU域内に子会社や支店、営業所を持つ企業
- 日本からEU域内に商品やサービスを提供している企業
- EU域内の企業等から個人データの処理について委託を受けている企業
企業における具体的な施策例として、GDPRの第32条および前文(83)では、データ保護技術の一つとして暗号化が推奨されています。
そのため、クライアントPCやHDD、USBメモリーなどの記録メディア、共有フォルダなどの個人データの暗号化が必要となります。
このほかにも、プライバシーポリシーをGDPRに対応した内容に変更する必要があります。GDPR対応のプライバシーポリシーについては、以下の記事にて詳しく解説しています。
関連記事:GDPRに対応したプライバシーポリシーを作成する際のポイントを解説
まとめ:GDPR対策は専門家に相談を
GDPRは、EU域内で処理される個人データを広範囲に保護し、データの適法かつ透明な処理、安全性の確保を求めるものです。GDPRと個人情報保護法の違いには、保護対象・個人データ侵害時の対応・代理人の設定・違反時の罰則などがあります。
主にEU域内に拠点を持つ企業、EU域内の個人に商品やサービスを提供する企業、EU域内の企業等から個人データの処理について委託を受けている企業などがGDPR適用の対象となります。GDPRに違反すると損害賠償請求や制裁金が科せられる可能性があるので、十分に注意しましょう。
自社のデータ保護に関する規則をGDPRに対応するために変更する必要があるのかについては、専門家に相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、グローバルビジネスはますます拡大しており、専門家によるリーガルチェックの必要性はますます増加しています。当事務所では国際法務に関するソリューション提供を行っております。
モノリス法律事務所の取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
