EU一般データ保護規則(General Data Protection Regulation)に関して、29条委員会は、2018年2月6日に「自動化された意思決定及びプロファイリングに関する2016/679規則ガイドライン(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679)」を改訂・承認しました。このガイドラインの内容については、人工知能を用いたビジネスを欧州等で展開する場合に予め把握・検討をしておくことが望ましいと思われます。
そこで、まず、今回は、GDPRについて、同ガイドラインを理解するために必要最小の限度で概説し、次回、同ガイドラインの内容を解説します。
ポイント
- GDPRは、2018年5月25日にEUで施行された個人データの取扱いに関する規則であり、その規制の対象は、個人データの「取扱い(processing)」と「移転(transfer)」である。
- GDPR上、個人データの「取扱い」に際しては、取扱原則の遵守(5条)、適法性の根拠の確保(6条)、データ主体の権利(12条から21条)への対応に加えて、設計によるデータ保護(Data Protection by Design)や初期設定によるデータ保護(Data Protection by Default) 等の規制(25条)や個人データ侵害の場合の通知義務(33条)もあり、また、必要に応じて、EU域内の代理人の選任、データ保護影響評価(DPIA)の実施、データ保護責任者(DPO)の選任等の義務が生じる場合がある。
- GDPR上、個人データの域外「移転」は原則として禁止されているが、①移転先の国又は地域が十分性認定を受けている場合(45条)、②適切な保護措置を取った場合(46条)、③データ主体の同意がある場合(49条1項(a))等の例外的場合に域外移転が許容されている。
- GDPRは、管理者または取扱者の違反内容により、①全世界年間売上高の2%、もしくは、1,000万ユーロのいずれか高い額(83条4項)、または②全世界年間売上高の4%、もしくは、2,000万ユーロのいずれか高い額(83条5項)のいずれかの制裁金を課している。ただし、最高額が直ちに課せられるとは限らない。
解説
GDPRとは
法的位置づけ
EU一般データ保護規則(General Data Protection Regulation。以下「GDPR」といいます。)は、EU(EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン。以下同じ)において、2018年5月25日に施行された個人情報の保護に関する「規則(Regulation)」です。
EU加盟国間では、最優先で適用される条約の他に、国内法の制定を待つまでもなく、加盟国において直接効力を有する「規則(Regulation)」や、国内法の制定を必要とする「指令(Directive)」等の法源があります。
個人データやプライバシーの保護に関してはEUデータ保護「指令」(Directive 95/46/EC)が存在していましたが、GDPRは、更に厳格な保護を定めており、EU域内における統一法として機能します。
なお、GDPRの前文及び本文については、個人情報委員会により日本語仮訳が公開されています。
対象情報
GDPRは、識別されたまたは識別される自然人(以下「データ主体」といいます。)に関する、すべての情報を「個人データ(personal data)」(4条1号)として保護しています。日本の個人情報保護法と異なり、IPアドレスや、クッキーを含むオンライン識別子等が含まれるところが特徴的です。
また、人種や政治的・宗教的思想、遺伝データや健康データ等の、いわゆるセンシティブ情報については「特別のカテゴリー(special categories)」に属する情報として、原則、取扱いが禁止されています(9条)。
規制対象
GDPRは、行為の観点からは、個人データの「取扱い(processing)」と「移転(transfer)」を規律しています。なお、ここでの「取扱い」とは、①「ファイリングシステムの一部である、又はファイリングシステムの一部にすることが意図された」「個人データ」の取扱いまたは②「全部又は一部が自動的な手段による」個人データの取扱いを意味しており、家庭内における取扱いを含みません。
他方、客体の観点からは、個人データの一次的な取扱者である「管理者(controller)」と、管理者から委託を受けて各種取扱いを行う「取扱者(processer)」について規律しています。
地理的範囲
GDPRは、EU 域内に拠点がある「管理者」または「取扱者」により、事業所の活動に関連してなされる「個人データ」の「取扱い」に適用(3条1項。「域内適用」)されます。この「取扱い」はEU域内で行われるか否かは問いませんので、日本で取り扱いがされていても、GDPRは適用されます。
他方、EU 域内に拠点のない「管理者」または「取扱者」による「取扱い」であっても、EU 域内のデータ主体の個人データに関するものであって、次のいずれかに該当する「取扱い」もGDPRの適用対象になります(3条2項。「域外適用」)。
- EU 域内のデータ主体に対する商品またはサービスの提供に関する「取扱い」(データ主体に支払要求の有無は問いません。)
- EU 域内で行われるデータ主体の行動の監視に関する「取扱い」
なお、前者の類型については、「管理者または取扱者が欧州連合内の 1 または複数の構成国内のデータ主体に対して役務を提供しようとする意思が明確か」が判断基準になりますので(前文23)、欧州から日本語のホームページにアクセス可能であるからといって、直ちに、GDPRの適用を受けることにはなりません。
GDPRによる取扱規制内容
GDPR上の個人データの取扱に関する主たる規制内容は、次のとおりです。これら以外にも、設計によるデータ保護(Data Protection by Design)や初期設定によるデータ保護(Data Protection by Default)等の規制(25条)や個人データ侵害の場合の通知義務(33条)もあり、また、必要に応じて、EU域内の代理人の選任、データ保護影響評価(DPIA)の実施、データ保護責任者(DPO)の選任等の義務が生じる場合もあります。
取扱原則の遵守
GDPRの適用対象となる場合、管理者は、データの取扱いについて、次の取扱原則を遵守する必要が生じます(5条1項)。
① 適法性・公正性・透明性
② 更なる取扱い及び目的の限定
③ データの最小化
④ 正確性
⑤ 保存の制限
⑥ 完全性・機密性
また、これらの原則について、管理者は、その遵守を証明できるようにしなければなりません(5条2項)。
適法性の根拠の確保
GDPR上、管理者が、個人データを取扱う際には、次のいずれかの適法性の根拠が必要とされています(6条)。
- データ主体が、一つまたは複数の特定の目的のために自己の個人データの「取扱い」に同意を与えた場合
- データ主体が当事者となっている契約の履行のために「取扱い」が必要な場合、または契約の締結前のデータ主体の求めに応じて手続を履践するために必要な場合
- 管理者が従うべき法的義務を遵守するために必要な場合
- データ主体または他の自然人の重大な利益を保護するために必要な場合
- 公共の利益または管理者に与えられた公的権限の行使のために行われる業務の遂行に必要な場合
- 管理者または第三者によって追求される正当な利益のために必要な場合
このうち、日本の個人情報保護法との特徴的な違いとして、同意の取得要件が厳格である点があります。
GDPR上、データ主体の「同意(consent)」は、「強制を受けず、特定的に、情報提供を受けた上でかつ曖昧でないデータ主体の意思表示」(4条11項)とされており、「その意思は、当該データ主体が、宣言または 明らかな積極的行為によって、自己に係る個人データの取扱いに合意(agreement)して表すものとする」ことが必要とされています。そのため、GDPRに対応したプライバシーポリシーを作成する場合には、黙示的な同意構成は必ずしも適切ではないため、留意が必要です。
加えて、データ主体は、自己の同意を、いつでも、撤回する権利を有しており、かつ、同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えません。そして、データ主体から同意を得る際には、これらの事実について、情報提供をしなければなりません。
さらに、同意の撤回は、同意を与えるのと同じように、容易なものでなければならないため、同意を根拠として、個人データを取扱う場合には留意が必要です。
データ主体の権利への対応
GDPR上、データ主体の権利として、次の各事項が定められていることから、管理者は、これらに対応することが必要です。
① 権利行使のために透明性のある情報、通知及び手続を受ける権利(12条)
② 収集・取得の際の情報提供を受ける権利(13条及び14条)
③ アクセス権(15条)
④ 訂正権(16条)
⑤ 削除権(17条)
⑥ 取扱制限権(18条)
⑦ データポータビリティ権(20条)
⑧ 異議権(21条)
⑨ 自動化された取扱いのみに基づく判断を受けない権利(22条)
このうち、例えば、②については、プライバシーポリシーやCookieポリシーを作成する場合には、個人データの利用目的や適法性の根拠等を明示する必要があります。
また、③から⑦については、システム的な対応を行うことが必要な場合は少なくないと考えられます。なお、システム的な対応としては、そのほかにも、諸要素を考慮の上で、個人データの仮名化または暗号化等の適切な技術上及び組織上の措置をとることや(32条)、データ侵害(data breach)の際に、72時間以内に監督機関への通知を可能としておくこと(33条)が重要です。
GDPRによる「移転」規制内容
GDPR上、個人データの域外移転は原則として禁止されており(なお、第三国に移転された個人データについても同様です。前文101参照。)、①移転先の国又は地域がデータ保護のレベルについて十分性認定を受けている場合(45条)、②適切な保護措置を取った場合(46条)、③データ主体が、これらいずれもないときに移転により生じ得るリスクについて情報提供を受けた上で、移転に明示的に同意した場合(49条1項(a))等の例外的場合に域外移転が許容されています。
①については、現在、日本が十分性認定を受けていないことから、②または③により対応することが現実的です。もっとも、③のハードルは必ずしも低くありませんので、拘束的企業準則(Binding Corporate Rules。46条2項(b))や、標準契約条項(Standard Contract Clauses)により対応するケースは少なくありません。
なお、①の十分性認定については、個人情報保護委員会の発表 によれば、本年7月17日に個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員が電話会談を行い、日・EU間で相互に円滑なデータ移転を図る枠組みについて最終合意を確認しており、2018年の秋までにその運用可能とするために、双方において必要な国内手続を完了させることが約束されています。そのため、その動向については十分に情報収集をしておくことが重要になります。
制裁
GDPRは、管理者または取扱者の違反内容により、①全世界年間売上高の2%、もしくは、1,000万ユーロのいずれか高い額(83条4項)、または②全世界年間売上高の4%、もしくは、2,000万ユーロのいずれか高い額(83条5項)のいずれかの制裁金を課しています。
もっとも、GDPRの各種義務に違反したからといって、直ちに上限額の制裁金が課せられるわけではなく、関係する取扱いの性質、範囲及び目的を考慮に入れた上で、違反行為の性質、重大性及び持続期間、並びに、その違反行為によって害を受けたデータ主体の人数及びデータ主体が被った損害の程度その他、GDPR83条2項所定の事項を考慮するものとされています。
実際、規則における制裁金の適用及び設定に関するガイドライン においては、「監督機関が選択するあらゆる是正措置と同じく、制裁金は「実効的、比例的かつ抑止的」であるべきであるとの原則が確認されています。
コメント
GDPRについては、本年5月25日に施行されたばかりということもあり、その規律内容については、未だ不透明な部分があることは否定できません。もっとも、欧州でビジネスを展開する日本企業としては、コンプライアンス上、対応が必要になりますので、ガイドラインを含め、最新の情報を収集しておくことが重要です。
次回は、GDPRにおける人工知能(AI)の取扱いについて、「自動化された意思決定及びプロファイリングに関する2016/679規則ガイドライン」の内容を紹介します。
本記事に関するお問い合わせはこちらから。
(文責・松下)
- 投稿タグ
- AI, GDPR, プロファイリング, 自動化された意思決定