GDPRの地理的適用範囲に関するガイドライン案が採択

f:id:merpoli:20181009233023p:plain

9月25日から26日にかけて、欧州連合(EU)加盟国の監督機関からなる欧州データ保護会議(EDPB)は、第三回全体会合を開催しました。EDPBは、EU一般データ保護規則(GDPR)の一貫性のある適用を確保するための会議で、GDPRの解釈指針(ガイドライン)などを策定します。

今回は、この第三回全体会合で取り上げられた議題のうち、日本に対する十分性認定と、とりわけ重要な地理的適用範囲に関するガイドライン案の2点についてご紹介します。

なお、第三回全体会合のアジェンダは、こちらをご覧ください。また、同会合の報道発表資料については、こちらをご覧ください。

 

1.日本に対する十分性認定

GDPRのもと、EU域内(厳密にはEUを含む欧州経済領域(EEA)内)から、同領域内に所在するデータ主体の個人データを域外に持ち出すことは、原則禁止されています。そのため、GDPRが認める国レベルの保護措置、または事業者レベルの保護措置をとっていれば、例外的に域外に持ち出すことが可能となっています。前者が「十分性認定」と呼ばれるもので、後者には「標準データ保護条項(SDPC)」や「拘束的企業準則(BCR)」、「行動規範」や「認証」があります。この点、例えば、本人同意に基づく域外移転は「逸脱条項」に規定されており、あくまでも国レベルまたは事業者レベルの適切な保護措置がとれない場合にかぎって選択しうる最後の手段という位置づけのため、注意が必要です。

上記のような域外移転規制は、実は日本の個人情報保護法も規定しています。すなわち、域外移転は原則禁止、ただし、①提供先の第三者が個人情報保護委員会の認めた国・地域に所在する場合、②提供先の第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している場合、③外国にある第三者へ提供することについて本人の同意がある場合、のいずれかの場合であれば、例外的に域外移転が可能となっています。

つまり、EUも日本も域外移転規制を有しているため、両国間の個人データの流通を促進することを目的として、これまでお互いの個人情報保護制度を認め合うための交渉が続けられてきました。その結果、個人情報保護委員会の報道発表資料にありますように、本年の7月、日本とEUの間で、相互の円滑な個人データ移転をはかる枠組み構築に関し、最終合意に達しました。今後、当該個人データ移転の枠組みを運用可能とするために、日EU双方において必要な国内手続が完了される見込みです。

この点、日本においては、いわゆる個人情報保護法第24条の外国指定を行うために、「個人情報の保護に関する法律施行規則の一部を改正する規則」(平成30年規則第1号)が5月に公布・施行され、その後、EUから十分性認定を受けるための「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」も9月に定められました。こうした日本の国内手続に対応する形でEU側で進められているのが、日本に対する十分性認定の採択作業です。

EDPB第三回全体会合では、欧州委員会の十分性認定案が議論されました。今後、EDPBにおいて綿密な検討が進められる予定です。EDPBは、検討後意見を発表することになっており、その後、EU 加盟国の代表者からなる委員会での協議(コミトロジー手続)、欧州議会の市民的自由・司法・内務委員会(European Parliament Committee on Civil Liberties, Justice and Home Affairs: LIBE委員会)による検討、そして欧州委員会委員合議体(College of Commissioners)による採決と順に進む予定です。

日本がEUから十分性認定を受ければ、EU域内に所在するデータ主体の個人データの域外への持ち出しに関し、個人情報保護委員会が定めた補完的ルールに遵守するかぎりにおいて、標準データ保護条項や拘束的企業準則といった事業者レベルの保護措置や逸脱条項に依拠する必要がなくなります。よって、例えば、ある日本企業の本社が欧州の拠点から個人データを持ってくる場合に、これまでは欧州委員会が指定した契約雛形をそのまま使用する必要があったため、本社と欧州拠点間で締結するその契約条項に縛られる形でしたが、今後は、本社が欧州拠点から十分性認定に基づいて個人データを受ける場合、個人情報保護委員会が定めた補完的ルールにのみ従えばいい形になります。

もっとも、十分性認定は、あくまでも移転に関する保護措置であり、上記のケースにおいて、例えば日本企業の本社がGDPRの直接適用を受けるような場合には、十分性認定の有無にかかわらずGDPRを遵守する必要があるため、注意が必要です。そして、GDPRの適用の有無を判断する上で非常に重要となるものが、次の項目、すなわち、地理的適用範囲に関するガイドラインです。

 

2.地理的適用範囲に関するガイドライン案の発表と意見募集の開始

GDPRはEUの「規則」であり、EU加盟国に直接適用されますが、それぞれのEU加盟国の裁量に任せられている部分もあり、各EU加盟国が国内法の整備を進めている状況です。日本企業がこうした外国法の遵守対応を考える上でまず重要なことは、「そもそも適用があるのか否か」という点です。適用があるのであれば遵守対応をしなければならないですし、適用がないのであれば遵守対応を行う必要はありません。その意味で、GDPRの適用範囲がどのようになっているのかを把握することがまず重要になります。

f:id:merpoli:20181009124001p:plain

メディアを見ていると、この最も重要な部分や関連する最新動向に言及せずに、例えば「EU域内に所在する個人のデータを持っていればいつでもGDPRが適用される」とか、「あるEU加盟国で開催された国際会議において、EU域内に所在する個人と名刺交換をすればいつでもGDPRが適用される」といったような説明がいくつか見られ、このことが、EU加盟国を含む他国に比して、日本国内の混乱を生じさせてしまっているケースがあるように思います。実際、他の国ではこのようなことはなく、欧州の弁護士や業界団体関係者の話を聞くかぎり、日本企業はGDPRに対し過剰反応してしまっているようです。中には、GDPRの適用範囲やその「リスク・ベースド・アプローチ」、各国監督機関によるGDPRの執行可能性やそもそも論としてのEUの立法文化を考慮せずに、本来求められる水準以上の遵守対応を行ってしまっている、あるいは行おうとしている日本企業も存在するのではないでしょうか。

このGDPRの適用範囲については、GDPRの関連規定および前文のみでは不明確な部分が多く、日EU・ICT戦略ワークショップの際や、欧州委員会司法総局のBruno Gencarelliデータ保護課長の来日セミナーの際等において、ガイドラインを出して欲しいと何度も求めてきました。今回のEDPB第三回全体会合の結果、地理的適用範囲に関するガイドライン案がやっと採択、意見募集が開始されることになったとのことで、どのような内容になっているか注目されます(※本稿執筆時点では、まだガイドライン案が公表されていない状態です)。適用範囲が法外に拡大されているなどがあれば、各国、そして官民連携して、意見提出を行う必要が出てくるかもしれません。

なお、ご参考までに、域外適用に関するGDPRの関連規定および前文をまとめたスライドを掲載します(一部、こちらの記事も参考にしています)。

f:id:merpoli:20181009124053p:plain

f:id:merpoli:20181009124126p:plain

 

3.むすびにかえて

5月25日にGDPRが施行されて以降、4ヶ月以上が経過しました。Bird & Bird法律事務所の情報によれば、まだ全てのEU加盟国がGDPRを国内実施するための補完法を制定していない状況です。

その間、Max Schrems氏が代表を務めるオーストリアの非営利団体「noyb」が、GDPR施行直後に、Google、Instagram、WhatsApp、Facebookの4社を相手どり、「同意の強制」のかどでそれぞれ関連する監督機関に対し申立てを行ったり、英国の監督機関(ICO)が、EU域内に拠点を有しないカナダのデータ分析会社(AggregateIQ)に対し、GDPR施行後初めての執行措置として、関連する個人データの処理を停止するよう求める通知を7月に出したりしています。加えて、Facebookがサイバー攻撃を受け最大5000万人に影響が出ると発表した事案に関しては、アイルランドの監督機関(DPC)が調査を開始すると発表しました。さらには、最大で50万人の個人データが外部流出したおそれがあるとして、Google+の個人向けサービスが終了となった事案に関しては、同じくアイルランドの監督機関(DPC)が、Googleに対し、さらなる情報提供の要請を行うであろうと述べたようです。

この他、米国企業がEU域内に所在する個人のデータを米国に移転するための法的枠組みである「プライバシー・シールド」(EUによる米国に対する部分的十分性認定)に関し、欧州議会が「米国政府が2018年9月1日までに必要な措置を採らない場合は停止する」と決議したり、また、英国のEU離脱(Brexit)との関係では、離脱交渉が難航していることから、「合意なしのEU離脱となった場合には、英国・EU間で個人データの越境移転を確保するための新たな契約が必要になる」と、政府が英国の事業者向けに発言するにいたっています。

現在もEUで審議が続けられている「eプライバシー規則」案も含め、今後も欧州の動向に目が離せない状況が続くでしょう。日本企業は、これらの動向を「他山の石」ととらえずに、しっかりとフォローしていく必要があります。残念ながら、欧州における最新動向を国内あるいは日本語の情報源のみで把握することは難しく、日本国内で一般的に言われていることが必ずしも正確な情報ではないという可能性を常に心にとめながら、国内外の人的ネットワークを維持・拡大しつつ、広く正確な関連情報を拾っていく姿勢が求められるでしょう。メルカリは、10月末に開催される第40回「データ保護プライバシー・コミッショナー国際会議(ICDPPC)」にも参加しながら、正確な情報の収集と国内外のステークホルダー連携を進めていきます。

(望月 健太)