◇SH0641◇欧州議会、新たな個人情報保護ルールを可決 泉 篤志(2016/04/25)

未分類
トピックス解説(岩田合同法律事務所)

欧州議会、新たな個人情報保護ルールを可決

岩田合同法律事務所

弁護士 泉   篤 志

 

 平成28年4月14日、欧州議会は、EU市民の個人情報の管理を強化し、現代のデジタル社会に見合った高度で統一された情報保護制度を欧州連合(EU)域内に構築するための新たなEU情報保護ルール(「EUデータ保護規則」)を可決した。このEUデータ保護規則は、従前から存在するEUデータ保護指令に代わるものであるが、今後官報に公示されてから20日目に発効し、その2年後にEU加盟国において直接国内法規として適用されることとなる。EUデータ保護規則は、EU域内に拠点を有する日本企業のみならず、拠点を有しないもののEU市民に対して商品やサービスの提供を行っている日本企業等にも適用され得るため、本稿においては、EU向けにビジネスを展開する企業にとって特に関心の高いと思われる事項について解説することとする。

 

1 域外適用

 従前のEUデータ保護指令においては、EU域内の拠点を利用して個人データを取得した場合に、同指令に基づく各EU加盟国の国内法が適用されていたが、EUデータ保護規則においては、EU域内の拠点を利用しているか否かに拘らず、①EU市民に対して商品やサービスの提供を行っている、又は、②EUに居住する本人の行動をモニタリングしている場合に個人データを取り扱うと、EUデータ保護規則が適用されることとなる(規則3条2項)。したがって、例えば、①に関して、日本企業が日本のオフィスにおいて開設・管理するウェブサイトで商品を販売した(すなわち、EU域内に拠点を有しない)場合であっても、例えば、EU加盟国で一般に使用されている言語や通貨で注文・決済ができるシステムを使用している場合などは、EU市民に対して商品やサービスの提供を行っていると判断されるリスクがあり注意が必要となる。

 なお、我が国においても、上記域外適用と類似する規定として、平成27年9月に公布された改正個人情報保護法75条において、外国にある個人情報取扱事業者への適用が規定されている。

 

2 EU域外への移転

 EUデータ保護規則では、基本的に従前のEUデータ保護指令と同様に、EU加盟国の個人データのEU域外への移転については、十分な保護の水準が確保されていると認定された国等に対して移転する場合(規則45条。なお、日本は認定されていない。)を除き、原則として禁止されている(規則44条)。ただし、本人が明確な同意を与えている場合(規則49条1項)や、拘束的企業準則[1](規則46条2項(b))又は標準契約[2](同項(c)(d))を締結している場合などは、例外的に移転が認められる。したがって、例えば、自社グループの従業員の個人データをEU域外に移転する場合はあらかじめ当該従業員から同意を取得し、EU市民である消費者の個人データをEU域外に移転する場合は、移転先との間で標準契約を締結することが考えられよう。

 なお、我が国においても、上記移転禁止と類似する規定として、改正個人情報保護法24条において、外国にある第三者への提供の制限が規定されている。

 

3 多額の制裁金

 EUデータ保護規則において、実務上インパクトの大きいと思われるものとして、多額の制裁金が挙げられる(規則83条)。上記EU域外への移転禁止規定などに違反した場合の制裁金は、2000万ユーロ又は前年度全世界売上高の4%のいずれか高い方を上限として、監督機関が違反の性質、重大性、期間などを総合考慮して判断される。かかる制裁金は行政上の手続であり、一般的に厳格な刑事手続とは異なって、監督機関の裁量が広い点に留意が必要である。したがって、グローバルに事業を展開する日本企業にとっては、独占禁止法違反や贈収賄禁止法違反のように、極めて高額な制裁金を課される恐れがあるといえよう。

 

 以上のとおり、EUデータ保護規則の制定によって、その適用範囲が拡大され、かつ違反した場合の制裁も強化された。また、近年はアジア諸国においても同種の個人情報保護法制の整備が進んでいる。したがって、グローバルにビジネスを展開する企業においては、個人データの取扱いに関して、提供元と提供先が所在する国・地域の規制を前提とした社内のコンプライアンス体制を構築するなどして、今後より一層慎重に対応していく必要があるといえよう。

 

 日本とEUにおける制度比較の概要
  日本 EU

域外適用

日本国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した場合(改正個人情報保護法75条)

①EU市民に対して商品やサービスの提供を行っている、又は②EUに居住する本人の行動をモニタリングしている場合に個人データを取り扱う場合(規則3条2項)

域外移転

原則として本人の同意必要。ただし、個人情報保護制度が日本と同等の水準にあると認められる外国、十分な個人情報管理措置・体制を整備している第三者は、例外的に移転可(改正個人情報保護法24条)

十分性が確保されていると認定された国等に対して移転する場合を除き、原則禁止。ただし、本人の明確な同意、拘束力的企業準則、標準契約がある場合などは、例外的に移転可(規則44~49条)

罰則・制裁金

(域外移転禁止違反などの場合)
6月以下の懲役又は30万円以下の罰金(改正個人情報保護法84条)

(域外移転禁止違反などの場合)
2000万ユーロ又は前年度全世界売上高の4%のいずれか高い方を上限として、監督機関が違反の性質、重大性、期間などを総合考慮して判断する(規則83条)

 

 

[1] 企業等が個人のプライバシー、基本的人権、自由の保護、これらに相当する権利の行使に関して、十分な保護措置を講じるための、法的拘束力を有する企業ルール。

[2] EUが定めた雛形に基づき、個人データの提供元のEU域内企業と提供先の域外第三国の企業との間で締結される契約。

 

タイトルとURLをコピーしました