EU一般データ保護規則を遵守するためのポイント
第1回 「なぜEU一般データ保護規則を遵守しなければならないか」
McDermott Will & Emery法律事務所
弁護士 Wilko Van Weert
弁護士 武 藤 ま い
多くの日本企業が、2018年5月25日より適用になるEU一般データ保護規則を遵守するための対策をとりはじめたか、とることを検討している。他方、そんな対策は不要と考えている企業、又は費用対効果の観点から対策をとることに躊躇している企業も多数あると理解している。そこで、そもそもなぜ日本企業がEU一般データ保護規則を遵守しなければならないのかという点についてみていきたい。
EU一般データ保護規則は、①欧州経済領域(EEA)に所在する「設備(establishment)」が行う個人データの処理に適用されるとともに、②EEAに設備をもたないがEEAに所在するデータ主体に対し商品やサービスを提供している企業がそれに関して行う個人データの処理、及び③EEAに設備をもたいないがEEAに所在するデータ主体のEEAでの行動を監視する企業がそれに関して行う個人データの処理、にも適用される。そのため、これまでEUデータ保護法の適用を受けてこなかった企業でも、②と③のデータ処理を行う場合には、今後EU一般データ保護規則の適用を受けることになるので、注意が必要である。また、EEAに子会社や支店をもつ企業は既に現在効力を有するEUデータ保護指令の下、関連加盟国のデータ保護法の適用を受けているので、ある程度のEU一般データ保護規則遵守対策はとれているかもしれないが、変更点も多数あるので、一度EU一般データ保護規則遵守の観点からのデータ保護体制の見直しをすることをお奨めする。なお、「個人データ」は、「識別された又は識別可能な自然人に関するあらゆる情報」であり、「処理」には収集、記録、保存、修正、使用、開示、移転等ありとあらゆる行為が含まれるので、自然人の個人データの取り扱いに関し、個人データの処理に該当しないといってEU一般データ保護規則の適用を回避しようとすることは、ほぼ無為に帰するだろう。
では、EU一般データ保護規則の適用を受けるとしても、同規則の遵守をすることにどの程度のメリットがあるのか。同規則遵守のメリットとしては、厳格化する制裁の回避、データ主体からの損害賠償請求の回避、信用評判の低下の回避、顧客・従業員からの信用の確保、セキュリティーリスクの低下、業務の円滑化等があげられる。特に、EU一般データ保護規則の重大な違反についての制裁金の上限は、2千万ユーロ又は事業体の前会計年度の全世界売上高の4%とされており、かなり高額となっている。これまでも執行に積極的であったフランスやドイツ等の加盟国では、これにあわせて制裁金の額が上昇することが見込まれており、こうした加盟国に設備がある場合には、特に注意が必要である。また、顧客や従業員等の個人は適切・適法な個人データの処理に益々敏感となっており、違法な個人データの処理は、データ主体からの監督機関に対する不服申し立てや損害賠償請求といったリスクをはらむ。他方、データ主体は、個人データに関する個人の権利に重きを置き、個人データを適切・適法に処理する企業に対しては、それより高い信頼を抱くだろう。さらに、EU一般データ保護規則に従い、個人の権利行使対応手続きやデータブリーチ対応手続きを整備し、個人データの処理行為を記録することは、業務に必要以上に支障が生じることを防ぎ、最終的には業務の円滑化につながるだろう。そのため、ある程度の初期費用は生じるかもしれないが、会社の規模・業務内容に見合ったEU一般データ保護規則遵守のための対策をとることは、会社にとってプラスとなるだろう。
次回から3回に渡り、EU一般データ保護規則を遵守する上での重要ポイントを概観した後、最終回では遵守のための具体的対策について簡単にご提示したい。