ギリシャの個人情報保護法を弁護士が解説
ギリシャ共和国(以下、ギリシャ)は欧州連合(EU)加盟国であるため、個人情報の保護に関しては、EUの一般データ保護規則(GDPR)が直接適用される法域です。したがって、ギリシャでビジネスを展開する日本企業は、まずGDPRが定める厳格なデータ処理原則、データ主体の権利、および説明責任の要件を遵守する必要があります。しかし、GDPRは特定の分野において加盟国に規定の裁量を認めており、ギリシャではこれに基づき「Law 4624/2019」が制定されています。この国内法は、GDPRの枠組みを補完しつつ、雇用関係におけるデータ処理、子どもの同意年齢、遺伝データの取り扱い、そして違反に対する刑事罰などにおいて、独自の、時にGDPR標準よりも厳格な規定を設けています。
特に日本企業が留意すべき点は、日本法の実務で一般的とされる「本人の同意」に依存したデータ処理が、ギリシャ、とりわけ雇用関係においては無効と判断されるリスクが高いことです。現地のデータ保護監督機関であるギリシャデータ保護庁(HDPA)は活発な法執行を行っており、不適切な同意取得や監視カメラの運用に対して高額な制裁金を科す事例が相次いでいます。さらに、行政制裁金に加え、営利目的の違反には最大10年の拘禁刑という重い刑事罰が科される可能性がある点も、経営上の重大なリスク要因です。
本記事では、Law 4624/2019の特則とGDPRの関係を整理し、雇用データの取り扱いや刑事罰のリスク、内部通報制度との関連性について、最新の判例や当局の決定を交えて詳細に解説します。
この記事の目次
ギリシャにおける個人情報保護法制の構造と適用範囲
ギリシャの個人情報保護法制は、EU法であるGDPRと、国内実施法であるLaw 4624/2019の二層構造で成り立っています。GDPRが「一般法」として全般的なルールを規定する一方、Law 4624/2019は公的機関の特則や、表現の自由との調整、そして刑事罰などの特定分野を詳細に規律しています。
Law 4624/2019の適用範囲は、ギリシャ領土内に拠点を置く「管理者」または「処理者」によるデータ処理だけでなく、ギリシャ内に拠点を有しない場合でも、ギリシャに所在するデータ主体に対して物品やサービスを提供する場合、またはその行動を監視(モニタリング)する場合にも及びます。これはGDPRの域外適用規定(第3条)を踏襲したものですが、日本から越境ECやデジタルサービスを提供する企業も、現地の消費者をターゲットとする限り、この法規制の対象となります。
参考:【PDF】ギリシャ個人データ保護法(法律第4624/2019号)公式英訳版 (Hellenic Data Protection Authority)
公的機関と民間機関の区分
本法は適用対象を「公的機関(Public Bodies)」と「民間機関(Private Bodies)」に明確に区分しています。日本企業の現地法人や支店は「民間機関」に該当しますが、現地政府や公的機関と取引を行う場合、相手方が公的機関特有の規制(例:DPO選任の絶対的義務など)の下にあることを理解しておく必要があります。民間機関であっても、中核的業務として大規模な監視やセンシティブデータの処理を行う場合は、データ保護責任者(DPO)の選任が義務付けられます。
ギリシャ法が日本法と異なる主要な独自規定
ギリシャの法制度には、日本の個人情報保護法やGDPRの標準的な規定とは異なる独自のルールがいくつか存在します。実務上、特に影響が大きいのは以下の点です。
情報社会サービスにおける子どもの同意年齢
GDPRでは、情報社会サービス(SNS、アプリ、オンラインゲーム等)の利用に関する子どもの同意年齢を原則16歳としつつ、加盟国が13歳まで引き下げることを認めています。ギリシャでは、Law 4624/2019第21条により、この年齢を15歳と定めています。
すなわち、15歳以上の未成年者は自身の個人データの処理について単独で有効な同意を与えることができますが、15歳未満の場合は親権者または保護者の同意または承認が必須となります。日本企業がギリシャ向けのオンラインサービスを設計する場合、ユーザーの年齢確認フローにおいて「15歳」を閾値としたシステムの実装が求められます。
遺伝データの保険目的利用の完全禁止
Law 4624/2019第23条は、健康保険および生命保険契約の締結や履行に関連して、遺伝データ(Genetic Data)を処理することを全面的に禁止しています。GDPRはセンシティブデータの処理を原則禁止としつつ例外を認めていますが、ギリシャはこの分野において「完全な禁止(Total Prohibition)」というさらに厳しい措置を選択しました。したがって、保険会社がリスク評価のために遺伝子検査の結果を求めたり、本人の同意を得て利用したりすることは違法となります。
ギリシャの雇用関係における個人データ処理の厳格性
ギリシャに進出する日本企業にとって、最も注意を要するのが人事・労務管理におけるデータ処理です。Law 4624/2019第27条は、雇用関係におけるデータ処理について詳細な規定を置いており、その解釈と運用は極めて厳格です。
同意の有効性と限界
日本の実務では、従業員から「個人情報の取り扱いに関する同意書」を取得することで適法性を確保することが一般的です。しかし、ギリシャおよびGDPRの解釈において、雇用関係における「同意」は、原則として有効な法的根拠とは認められません。これは、雇用主と従業員の間には明白な「力の不均衡」が存在し、従業員が自由な意思で同意すること(および不利益なく撤回すること)が困難であると考えられるためです。
Law 4624/2019第27条第1項は、雇用関係のデータ処理は「雇用契約の履行」または「法的義務の遵守」のために必要不可欠である場合にのみ許容されるとしています。同意が例外的に認められるのは、従業員に法的・経済的な利益をもたらす場合(例:任意の福利厚生など)に限られます。
PwC Business Solutions事件に見るリスク
この「同意への依存」がいかに危険かを示す重要な事例が、2019年にギリシャデータ保護庁(HDPA)が下した「PwC Business Solutions事件」の決定です。
| 事件の概要 | 従業員のデータ処理について、会社側が「同意」を法的根拠としていた事例。 |
| 当局の判断 | 給与計算などの業務に必要な処理について「同意」を根拠とすることは誤りである。「契約の履行」や「法的義務」に基づくべき処理を「同意」に基づくものと説明したことは、従業員に「同意しなければ働けない」という誤解を与え、透明性と公正性の原則に違反する。 |
| 結果 | 是正命令に加え、15万ユーロ(当時のレートで約1800万円以上)の行政制裁金が科された。 |
この決定は、企業が「念のために同意を取る」というアプローチをとることが、かえって「不適切な法的根拠の選択」および「透明性欠如」という違反行為を構成することを示唆しています。
参考:【PDF】HDPA決定 No. 26/2019 概要(PwCに対する制裁事例) (Hellenic Data Protection Authority / 英語)
職場における監視(CCTV・モニタリング)
職場への監視カメラ(CCTV)の設置や、従業員の通信モニタリングについても厳しい制限があります。Law 4624/2019およびHDPAのガイドラインによれば、CCTVは「人や財産の安全確保」のために絶対に必要な場合にのみ許容され、従業員のパフォーマンスや勤務態度を監視する目的での利用は禁止されています。
2025年にピレウス第一審裁判所が出した判決(Decision 337/2025)では、同意なしに従業員のワークスペースを監視するカメラを設置した行為に対し、従業員の人格権侵害を認め、損害賠償を命じています。裁判所は、ここでも「雇用関係における同意は、力の不均衡により名目的なものに過ぎない」と断じています。
また、別の事例(Allseas Marine S.A.事件 Decision 43/2019)では、企業が横領の疑いのある従業員の削除済みメールを調査した行為については、就業規則で私的利用を禁止し監査権限を明記していたことから適法とされましたが、同時に行われていたCCTVによる監視については、適切な通知と法的根拠を欠くとして違法とされ、1万5000ユーロの制裁金が科されました。
参考:HDPAプレスリリース:雇用主による従業員メールの閲覧に関する調査 (Hellenic Data Protection Authority / 英語)
ギリシャの違反に対する制裁:行政罰と刑事罰
GDPR違反に対する制裁として、最大2000万ユーロまたは全世界年間売上高の4%という高額な行政制裁金が知られていますが、ギリシャのLaw 4624/2019は、これに加えて厳しい「刑事罰」を規定しています。
刑事罰の詳細(第38条)
日本の個人情報保護法における罰則と比較して、ギリシャの刑事罰は法定刑が重く設定されています。
| 違反行為の類型 | 刑罰の内容 |
| 基本的な違反 (違法なデータの収集、コピー、改変、送信、販売等) | 最大1年の拘禁刑 |
| センシティブデータに関わる違反 (健康データ、信条、犯罪歴データ等の違法処理) | 最低1年の拘禁刑 および 最大10万ユーロの罰金 |
| 営利目的・加害目的の違反 (自らまたは他者の不正な利益を図る、または他者に損害を与える目的があり、その利益/損害額が12万ユーロを超える場合) | 最大10年の拘禁刑 |
特に「最大10年の拘禁刑」という規定は、企業犯罪としては極めて重いものです。営利目的で顧客リストを不正に流用した場合などがこれに該当する可能性があり、経営者や担当者が個人の自由を拘束されるリスクがあります。
行政制裁金の実例
HDPAは制裁金賦課に積極的です。前述のPwC事件(15万ユーロ)以外にも、2024年には市民保護省(Ministry of Citizen Protection)に対し、新しいIDカード発行に関連するGDPR違反(DPIAの不備、情報提供の遅延など)で15万ユーロの制裁金を科しています。また、通信事業者や金融機関に対しても数百万ユーロ規模の制裁金が科された実績があります。
ギリシャの内部通報制度とデータ保護(Law 4990/2022)
2022年、EU内部通報者保護指令を国内法化した「Law 4990/2022」が施行されました。従業員数50名以上の民間企業は、内部通報チャネルの設置が義務付けられています。
この制度の運用においてデータ保護は中心的課題です。通報者の身元の機密性保持は絶対条件であり、調査に関連しない個人データは速やかに削除する必要があります。通報に関する記録の保存期間については、調査や法的手続きが完了するまでの合理的な期間とされています。通報制度の導入にあたっては、GDPRに準拠したプライバシーポリシーの改訂や、通報データの取り扱いに関するDPIA(データ保護影響評価)の実施が推奨されます。
まとめ
ギリシャにおける個人情報保護法制は、GDPRの厳格な適用に加え、Law 4624/2019による独自の強化規定が組み合わさった、コンプライアンス難易度の高い法体系と言えます。
特に重要なポイントは以下の通りです。
- 子どもの同意年齢は15歳:デジタルサービスにおける年齢確認の実装が必要です。
- 雇用関係での同意原則無効:安易な同意書取得は違法となるリスクが高く、「契約の履行」等の正当な根拠の構築が必要です。
- CCTV監視の厳格化:従業員のパフォーマンス監視目的での利用は禁止されています。
- 重い刑事罰:営利目的の悪質な違反には最大10年の拘禁刑が科される可能性があります。
日本企業がギリシャでビジネスを行う際には、日本の感覚で「同意さえあればよい」と判断せず、現地の法規制とHDPAの執行傾向を踏まえた慎重な対応が求められます。モノリス法律事務所では、ギリシャへの進出や現地法人のコンプライアンス体制構築、リスク評価に関する法的なサポートを行っております。
カテゴリー: IT・ベンチャーの企業法務
