法律情報提供
法務トピックス
GDPR(一般データ保護規則)の我が国企業への影響について
我が国の企業の皆様の多くは、「我が社への影響はほとんど無い」、「あったとしても、実害は無いだろう」と極めて楽観的に考えているようです。実のところ、多くの企業では、昨年の個人情報保護法改正に対する対応も、まだ十分にできているとは言えない状況にあります。そうした状況では、とても外国の法制度までには手が回らない、まだまだ自社での対応は、周囲の企業の様子を見てからでいい、という判断をしているようです。
しかし、法律家の視点からすると、そうした判断が正しいのかについて大いに疑問があります。GDPRへの対応を検討するにあたっては、2つの視点が必要だと思われます。まず、GDPRを守ることにどのような意味があるのかという点 、もうひとつは、GDPRに対応しないことが違法とされるのか、違法とされた場合に企業へのマイナスはどの程度のものか、という点です。
この点を踏まえて、GDPRへの対応を検討することになると思います。
こうした点では、以下の「GDPR(一般データ保護規則)の我が国企業への影響」を参考にしていただければと思います。
また、上記の視点はいわばマイナス面からのGDPR対応ということになりそうですが、以下のようなGDPR対応は企業にとってプラスの面もあります。
1 国際競争力を確保するということ
GDPRは、EU、EEA(EU28カ国とノルウェー、アイスランド、リヒテンシュタイン。以下、単にEUとのみ言います)合計31カ国の共同行動によって確立された原則になります。この地域の総人口は5億人を超える巨大なものとなります。人口比では中国、インドに続く第3位の巨大市場なのです。
こうした巨大な市場を抱えた国家群が、GDPRという統一行動 を起こしているのですから、その意味を正確に捉える必要があります。
EUは、近代文明を牽引してきた国家群であり、また、個人情報、プライバシーの世界においても、1995年のプライバシー指令を世界で初めて発令し、この指令の趣旨の下、EU各国が国内法として制度整備をして、世界をリードしてきました。
さらに、ビッグデータの時代となり、人と物とが結びついて情報化され、管理されるIoT(Internet of Things)が急速に普及し始め、集められた情報はAI(Artificial Intelligence 人工知能)によって解析されるなどして、企業活動を活性化させる時代になりました。
EUは、こうした情報爆発の時代にあって、最適なプライバシー、個人情報のコントロールを行い、競争力を確保し、経済活性化を進める、という選択をしています。
EUは、単に規制を強化することで米国などの情報戦略に歯止めをかけ、EUとして孤立化しようというものではないと考えられます。EUの進もうとする方向は、むしろ、情報活用を十分に行うための基盤を確立したうえで、安定した競争力強化、経済発展を実現するための環境整備を行うことにあります(GDPR前文参照)。
2 世界の動向
米国においては、世界に先駆けて、GDPR対応として「EU-USプライバシーシールド」(privacy shield)が、EUと米国との間で2016年に締結されました。
両者の間には、かつてセーフハーバー協定がありましたが、同協定は2015年10月に欧州司法裁判所が、個人情報保護が十分に保証されていないとして無効判決を下し、破棄せざるをえなくなり、それに代わるプライバシーシールドという新たな協定が作られたのです。
この制度は、米国では、連邦と各州法とが乱立し、必ずしも統一法での管理ができないという状況を前提とし、米商務省、連邦取引委員会(FTC)が、各企業を監督すること、各企業はあらかじめプライバシーポリシーを確立し、米商務省に届け出て、これを守ることを宣言するというものです。企業が、自ら宣言したポリシーに違反した場合には、米商務省が法的手続きを実施し、厳しい対応を行うこと(拘束力、強制力がある)を約束した制度となります。ただ、最近では欧州委員会が、米国企業のデータ保護の実態に鑑み、プライバシーシールドを取り消す可能性も出てきました。
永世中立国であるスイスも、米国と同様のプライバシーシールドを締結しており、また、すでにEUからEUと同様な保護体制が確立しているとの判断である「十分性認定」を受けた国も、カナダ、イスラエル、ニュージーランド、アルゼンチン共和国など11カ国に及び、我が国もEUとの協議を行い、早期の認定を強く望んでいます(共同プレス・ステートメント(個人情報保護委員会) 参照)。
3 カリフォルニア州の新しい立法
最近では米国、カリフォルニア州で、新しい法律が制定されました。本年6月28日にカリフォルニア州議会の上院および下院において、新しい法律「California Consumer Privacy Act(カリフォルニア州消費者プライバシー法)」に対する投票が行われ、全会一致で可決され、さらにその後カリフォルニア州のJerry Brown知事が同法律に署名したため、正式に制定されたことになります。
この法律は、GDPR制度と同様の、アクセス権及びポータビリティ制度、利用停止請求権の拡充などが導入されています。実質的にGDPRに同調した方向性と言っていいでしょう。
4 世界の潮流
EUは、GDPRにより、大きく舵を切りました。これまでのオプトアウトを放棄し、オプトインを基本とする制度へ明確に転換したのです。同意のない収集、同意に基づかない利用は認めない、という方向であり、同時に明確な表示・説明を前提とする同意によれば、情報移転の自由が確保され、自由な利活用が可能になる、という制度となったわけです。
この流れに象徴されるように、世界の趨勢はオプトインに舵を切っているのであり、我が国企業もこうしたGDPRの戦略を理解して、これに伍して行くようにしなければならないでしょう。
5 日本の国際競争力をつけるために
我が国では、2019年9月20日からラグビーのワールドカップが開催されます。約20のチームが参加し、約半数がEU諸国のチームとなります。その応援団が大挙して来日するでしょう。
さらに2020年7月には東京オリンピック・パラリンピックが開催されますが、世界から210を超える国家から選手総勢10万人が参加するとも言われており、その応援団、観光客が大挙押し寄せてくることになります。
こうして、我が国は、EUの多くの人々の来日を受け、その旅行や移動のお手伝いをして、EUの個人データを大量に取り扱うことになります。
EUの人々は、当然ながら、自ら提供する個人データが、日本でどのように利用されるのか、強い関心を持つことでしょう。こうした関心に、十分に応えられる体制が必要となるでしょう。もし、十分な対応ができず、ずさんな管理が露呈され、まさに「体たらく」な状況を見せつけたならば、国際的な笑いものになるでしょうし、個人データの満足な取り扱いすらできない低レベルの国家、企業群との評価を受け、国際競争から見放されるでしょう。
こうした不名誉な事態とならないように、今から十分な対応をしておく必要があります。
何よりも、国際競争力をつける絶好のチャンスとなるわけです。