RSS

デジタルプライバシー

日本企業、巨額制裁の恐れも 欧州GDPR、施行まで2カ月

在ブリュッセル・杉本弁護士に聞く

企業の1年の利益が吹き飛びかねない。そんな厳しい罰則がある個人データの保護法制が、ヨーロッパで5月に始まる。ルールを定めた欧州連合(EU)はいったい何を狙っていて、日本では誰が、どのように備えておくべきなのだろうか。この分野に詳しく、欧州の第一線で活躍する杉本武重弁護士は「対策を怠れば、日本企業も巨額の制裁を受ける可能性がある」と言う。中小企業ですら、その対象になりかねない。(GLOBE編集部・西村宏治)



GDPRの条文

欧州連合(EU)が5月25日に施行するのが、「一般データ保護規則」(※GDPR)だ。EUの執行機関の欧州委員会が、2012年に欧州議会と理事会に提案。2016年4月に採択された。前文173項、全99条あり、施行に向けて、条文の解釈などについてのガイドラインを欧州当局が次々に打ち出している。


※GDPR = General Data Protection Regulation (本文(英語)はこちら(EUR-Lex) 日本情報経済社会推進協会(JPIDEC)による仮訳はこちら。ガイドライン(英語)の草案などはこちら(欧州委員会のサイト)


注目を集める最大の理由は、違反した場合の罰則だ。制裁金は、最大で2000万ユーロ(約26億円)、もしくは全世界の年間売上高(Turnover)の4%。1兆円企業なら400億円、10兆円企業なら4000億円にもなろうという規模だ。EU向けにビジネスをしていれば、もちろん日本企業もその対象になりうる。


個人データ保護に厳しいドイツでも、制裁金は最大で30万ユーロ(約3900万円)でしかなかったこれまでに比べれば、大きな変化だ。日本の場合、東証一部上場企業でも、売上高に占める経常利益率は平均で7%ほど。最大の制裁を受けてしまったら、その半分以上が吹き飛ぶ計算になる。


そんなに厳しい罰則、本当に科すことができるのだろうか?

単なる「脅し」ではないのだろうか?


そんな疑問を胸に、ギブソン・ダン・クラッチャ―法律事務所のブリュッセルオフィスに杉本弁護士を訪ねたのは、GDPR施行まで4カ月を切った1月下旬のことだった。


杉本弁護士は、日本貿易振興機構(JETRO)の「EU 一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」(2016年)(こちら)や「同(実践編)」(2017年)(こちら)も手がけたこの分野の専門家。実際に欧州で日本企業への法的アドバイスも担当している。


柔和な表情から出てきたのは、思っていた以上に厳しい言葉だった。


「欧州当局は、違反に対してはそれなりの制裁金を科してくるだろう」

「競争法と比べても、制裁を出しやすい法律だ」


5月以降、欧州当局がどこにどんな制裁を科してくるのか。欧州でビジネスを展開する企業の経営陣にとっては、すでに頭の痛い問題になっているのだという。


くわしいやりとりを、以下にお届けする。



すでに始まっているGDPRの影響

杉本武重弁護士

――5月にGDPRの施行が控えています。日本への影響も大きいのでしょうか。

GDPRの採択は2016年で、施行は今年の5月25日ですが、日本企業への影響は、すでに出ていると思います。

欧州で事業を展開している日本企業は、GDPRに対応するための社内体制づくりをすでに始めていますし、コストもかかってきています。その影響は欧州の現地法人だけではなく、本社にも及んでいます。


――欧州だけでなく、日本の本社も対応が必要ですか。

もちろん、そういう疑問もあると思います。


しかし欧州は今でも日本などへの個人データの移転を制限していて、移転するには移転契約、例えば、欧州委員会が決定をした標準契約条項(Standard Contractual Clauses: SCC)の締結などが必要です。その契約の条件は欧州並みの保護をすることです。つまりGDPRが適用開始されれば、欧州から日本へ移転したデータについては、GDPR並みの保護を求められることが推測されます。


日本企業が、欧州で集めた顧客や従業員などの個人データを本社に移転するという場面は、いろんな部署で頻繁に起こっていると思います。総務部門や人事部門でもあるでしょうし、営業部門でもあるでしょう。すると本社がGDPRに対応しない理由がないのです。


それに日本側の対応が不十分なままなのに、欧州から日本の本社にデータを送ったとなると、その欧州法人がGDPR違反を問われかねません。この面からも日本側から対応しておくべきでしょう。さらに経営陣からすれば、もし本社が対応していないために制裁を受ければ「分かっていたのに対応を取らなかった」として、株主から善管注意義務違反を問われかねないという発想になるでしょう。すると、やっぱり対応しておくしかないということになります。


――本社側でももうかなり対応が進んでいるのでしょうか。

実際には、大手ではもう本社側で対応を進めている企業の方が多いのではないでしょうか。例えば、実際に欧州とどんなデータをやりとりしているかを把握しなくてはいけませんので、質問票をつくって、社内の全部門に調査をかけているような会社もあります。私の知っている範囲では、全世界の800を超える社内部門・現地拠点に調査をかけて、社内体制をつくっているところもありますね。


――ものすごく大がかりですね。

みなさん悩まれるのは落としどころです。例えば欧州と、日本の本社でデータ保護体制をつくるのはいいとして、ごくまれに欧州からインドの現地法人にデータを送っているような場合、インドでも対応が必要なのか、といった悩みが生じます。


極端な話でいけば全部という話になってしまいますが、さすがにコストがかかり過ぎます。ですからやらないということではなく、何年かにわたる計画を立てて、リスクの高いところから手をつけていくことになります。次の年度にやる計画をつくっておくとか、当局に説明のつく形にしておかなくてはなりません。そんな頭痛のタネになっているという意味でも、すでに影響は出てきています。


――かなり大きい罰則がありますが、制度も細かく、準備も大変です。本当に執行できるのか、と疑問も感じます。

私は、違反に対してはそれなりの制裁金を科してくるものと思っています。


欧州では、個人データの保護はEU基本権憲章にあるように、すべての人が持つべき基本的人権として捉えられています。この考え方の流れはずっとありました。しかしながら、法の執行という意味ではあまり目立ってはいませんでした。


そこで欧州当局は、EU競争法の執行を見習ったのではないか、というのが私の考えです。


EU競争法は、日本で言えば独占禁止法にあたる法律です。欧州当局はこれを日米の様々な企業に適用し、数十億円、数百億円、場合によっては数千億円にものぼる制裁金を科してきました。これは競争行政を進める財源にもなりましたし、さらに競争法を、欧州の経済を守ったり、成長を促したりすることにも使おうという意思を示す政治家もいます。


同じように、データ保護についても強力な権限を持ち、制裁金による収入を上げ、データ保護行政に生かしていこうという考えが働いているのではないかと私はみています。


欧州当局の姿勢は、変わった

ブリュッセルの欧州議会

――欧州ではグーグルやフェイスブックなど、アメリカのIT大手への厳しい判決も相次ぎました。

中でも大きかったのが、欧州連合司法裁判所が2015年に出した、シュレムス判決(セーフ・ハーバー協定無効判決)でしょう。

先ほども申し上げましたが、EUは原則として、個人データの第三国への越境移転を禁止していて、移す場合はそのための契約(SCC)その他の適切な保護措置が必要です。ただし米国とEUは2000年にセーフ・ハーバー協定という特別な協定を結び、米国政府に自己認証を申請した米国企業に対しては、契約がなくても個人データを移転できるようにしていました。これを無効としたのがシュレムス判決です。


もともとEU側には、セーフ・ハーバー協定を結んだ後も「米国はデータ保護のルールを守っていない」という不満がずっとあったと思います。そのうえに2013年のスノーデンの告発で、本当に米国政府が情報を集めていることが分かってしまった。


それでも、無効判決が出ると思っていた人は、少なかったと思います。ところが、本当に無効にしてしまった。これは、欧州当局の姿勢を大きく変えたと言えると思います。


――データ保護に、より前向きになったわけですね。

実際に2016年6月、ドイツのハンブルグの当局は、従来の手続きのまま欧州から米国にデータを移していたアドビやユニリーバ、ペプシの子会社に制裁金を科しました。シュレムス判決でセーフ・ハーバー協定が無効となったことを踏まえ、従来の手続きのまま欧州から米国にデータを移転するのは、違法だと判断しました。これで、欧州当局が本気だという姿勢が見えました。


米欧はその後、新しい協定となるプライバシー・シールドを16年8月に施行します。ですが、その1年後のレビューでは、欧州側はいくつかの懸念をあげ、「米国が与えられた期間(2018年5月25日まで)内になんの対応もとらない場合は、今度はプライバシー・シールドの有効性を問う訴訟を起こすことを加盟国当局に求める」とはっきり言っています。


――企業は、やはりデータ保護には後ろ向きなんでしょうか。

欧州では、日本と比べれば一般的に企業のデータ保護への意識は高いと思います。それでも、コンプライアンス対応の優先順位が高かったかと言えば、1番手ではなかったと言えるでしょう。企業は、限られた予算を振り分けるときに、生産性を考えます。コンプライアンス対応についても、違反を問われた時のリスクの高いものから手を打つことになります。


その順番は、まず競争法が来て、次に腐敗防止法。データ保護法はその他のものも含めての3番手集団だったのではないでしょうか。各企業とも「細かく見ると法に触れる部分はあるかもしれないが、当局側もそこは突いてこないだろう」「欧州におけるデータ保護当局による執行は厳しくない」と、安心していた部分があると思います。それだったら、競争法への対応を頑張ろう、という姿勢です。


――そうも言っていられなくなるということですね。

シュレムス判決後にハンブルグの当局が制裁金を科したことで、データ保護のコンプライアンス違反が本当に問われること、しかもグーグルのような巨大IT企業だけではなく、一般企業にも適用されることがはっきり分かりました。


特に、データ保護法の域外移転規制に違反した場合、つまりSCCなしに個人データをEU域外に移転させたような場合でも、制裁金が科せられうることが分かったのです。


このときの制裁金は1社1万ユーロ(約130万円)ほどですから、大手企業には怖くない金額です。しかし当時のドイツの制裁金の上限は、30万ユーロ(約3900万円)でした。上限の30分の1です。しかも、当局は違反が続けばさらに金額を引き上げる姿勢でした。


そこから、GDPRで制裁金の上限が「2000万ユーロ」(約26億円)や「事業者グループの全世界年間売上高の4%」に引き上げられた場合は、いくらぐらいの制裁金を科される可能性があるのか、推測できるようになりました。コンプライアンスの担当者が、経営陣に具体的にリスクを説明することが可能になったのです。


注目すべきは、非常に厳しい「説明責任」

欧州議会がGDPRを採択したのは2016年。今年5月25日に施行される

――5月の適用開始というのは、当局側も企業側も、本当に間に合うのでしょうか。

準備は着実に進んでいるとは言えます。当局側は85%ぐらいの準備はできた、という認識ではないでしょうか。当局側としては相当なハードワークをしてこれだけの短期間に数多くのガイドラインを出したのだから、当然、従ってくださいという思いでしょう。


ただ、準備をする側から言うと、欧州当局が出したGDPRに関するガイドラインのような書類を読むだけでも大変です。しかも、データ保護というのは法務部が対応して終わりの法律ではなくて、データを扱う部署すべての対応になります。


自分たちで考えて準備してきた企業の中には、GDPRの適用対象となる個人データの処理と移転の現状把握がうまくいかず、対応をやり直さなければいけないところも出てきています。大手企業からすれば、100%どころか80%でもちょっと無理ではないか、という感触ではないでしょうか。


その中でどんな執行をしてくるのか、注目されます。


――GDPRの注目点は、どこだと考えていますか。

説明責任ですね。そこが非常に厳しいと感じます。


競争法や反カルテルの法制度を例に取ると、なぜ当局がそう簡単に執行できないかというと、立証の壁があるからです。当局はリニエンシー(密告の制度)を使って証拠を集め、それをもとに調べを進めて最終的に制裁を科します。捜索でも、メールからなにからすべて持って行って、当局が分析して、証拠を積み上げて違反を立証します。


ところがGDPRでは、当局がやってきて「GDPRへの対応状況はどうなっていますか」と聞けば、企業側が対応状況を説明しなくてはいけません。


たとえば、個人データの処理行為をリストアップして一覧表にしたものを準備しておかなければいけないのですが、それが出せなかった時点で、その記録の保持義務の違反や「説明責任義務違反」となりかねません。


――厳しいですね。

また「データ保護影響評価」という考え方も入りました。これは、人権に与えるリスクの高い個人データの処理について、企業にそのリスクの評価を義務づけるしくみです。


欧州当局のガイドラインでは、「評価やスコアリングをするような場合」など、人権への影響が高いと考えられる九つのパターンを挙げています。このうち2パターン以上にあてはまるデータ処理をする場合には、企業に原則として評価の義務があります。その結果、リスクが高いと判断したら、当局に事前に相談にいく必要があり、承認を得るまではそのデータの処理ができません。


企業が自分たちが「リスクは低い」と判断した使い方が、当局に「これはリスクが高い」とされる可能性もあります。となると、企業としてはなるべく保守的に考えて、迷ったら当局に事前に相談にいくことになるでしょう。


――ほかにも気にすべき点はありますか。

データ保護責任者(Data Protection Officer: DPO)の位置づけも大きく変わっていきそうです。日本企業は、このDPOの人選を特に慎重に行うべきです。


――どういう立場の人でしょうか。

企業は、GDPRや各国の国内法で定める一定の要件を満たす場合、会社の中にDPOを置くことが義務づけられます。たとえばドイツは従業員10人以上の会社に、選任義務を置いています。


DPOは、GDPR対応を社内にアドバイスする立場でもあり、会社と当局の間に立つ立場でもあります。しかし、経営からは完全な独立が求められていて、当局への協力義務もあります。独立性を侵害すると、それ自体が制裁の対象になります。


つまり簡単にクビにできません。さらに、いろんな支援を会社から受けられるようになっています。例えば国際会議でデータ保護に関する研修を受けてくるとなったら、そういう費用は会社が面倒をみなくてはいけません。


――経営からは、独立したポジションになるわけですね。

したがって、日本企業には日本の本社でDPOを選び、欧州の拠点にはデータ保護当局と現地語でコミュニケーションをタイムリーに取ることができるDPOのチームメンバーを置くことをお勧めしています。


こうした手厚い支援制度のおかげもあって、欧州ではDPOはひとつの専門職領域として、できあがってくると思います。ある会社でデータ保護を担当し、また別の会社に移ってデータ保護を担当するような、そういうキャリアを積み重ね、中には当局に移るひとも出てくるでしょう。


そうすると企業側の「ここを突かれると痛い」といったようなことが、当局にすべて分かるようになってきますよね。


日本の中小企業がびっくりするような事態が起きても、おかしくない

――欧州当局の担当者などからは「GDPRが世界標準になる」、という声も出ていました。

コンプライアンスの考え方として、法律が一番厳しいところにあわせて体制を構築するのが、効率的で効果的だという考え方があります。また競争法の話になりますが、実際に多くの日本企業が、EU競争法や米国の反トラスト法など、欧米の法律を見ながら社内体制をつくっていきました。


さらに、同じような法制度が世界に広がる可能性があります。競争法の場合では、欧米を先駆けとして、その他の地域でも国際的なカルテル調査が出てくるようになりましたし、中国もEUの競争法型の独占禁止法を制定するなど、世界中に同じようなしくみが広がっていきました。


個人データ保護についても、EUの法律は、法律をつくる側からすると、ガイドラインも細かいのでまねがしやすい。さらにGDPRは執行権限も強力ですので、こうしたところも、各国の当局者からは適用しやすいということがあると思います。


――中小企業にも影響は及ぶのでしょうか。

これまでに出ているガイダンスなどを見ると、中小企業だから義務を免れるということは、少ないようです。どちらかと言えば、中小企業に例外を設けることで規制が骨抜きになることを避けていると感じます。


これは私の想像ですが、おそらくその理由のひとつは、モバイルアプリケーションなどの分野で、小規模な企業による個人データを使ったビジネスが非常に隆盛になっているからではないでしょうか。こうしたデータ処理を手がける会社で悪質な違反があった場合は、中小企業であっても厳しい制裁を科すということだと思います。


たとえば日本のモバイルゲームの会社でも、欧州にゲームを配信している会社があります。非課金のゲームでも、収入源として広告の効果測定をやったり、データを売ったりするビジネスもあります。すでに、同意もないまま欧州から個人データを集めて、広告効果の測定に使っているような会社があると聞いたことがあります。


しかも、小規模で法務やコンプライアンスの担当者がいない、というケースもあるようです。でも、このままでは、データを使ってビジネスをしている日本の中小企業がびっくりするような事態が生じても、おかしくはないと思います。


――大ヒットすると、目をつけられるということですか。

そういう場合もあるかもしれません。しかし、きっかけはもっとささいなことかもしれません。たとえば子どもがゲームをやりすぎているとか、すごく課金してしまったとかいう場合に、親がものすごく怒ってゲーム会社に子どものデータをちゃんと扱っているのかを問い合わせたり、当局に苦情を申し立てたりすることが考えられます。この場合、今のままでは制裁につながる可能性が高いと思います。


子どものデータというのは、非常に繊細な取り扱いが求められます。プライバシー性が低くても、子どものデータに関しては守られなくてはいけないというのが基本的な考え方なので、子どものデータを扱うというのは、きわめて難しいです。


別に子どものデータがすべてダメだとか、子どもへの課金が悪いとかいうことではありません。私もゲームは大好きでしたし、子どもに夢と希望を与えているということもあると思います。しかし、子どものデータを常時扱うことになりますので、リスクは高くなるということです。


――日本では欧州から客を集めているような個人経営の旅館なども問題になったりするのか、と話題になっていましたが。

実際には、そういう小さな旅館が直接、お客を集めるというよりも、海外のホテル予約サイトなどと契約して情報を扱ってもらっていることの方が多いと思います。そういう予約サイトは、これからまさにGDPRの中心的な対象になりますから、これを守るために準備を進めています。すると予約サイトは、欧州の顧客データを日本の旅館に送るために、データ移転契約を結ぶといった準備が必要になります。


つまり彼らがGDPRに対応するために、日本の旅館やホテルなどに新たな書類を要求してきて、それを準備しないとサイトに掲載されない、というようなことがあり得ると思います。


もう一点、ホテルや旅館ということでいくと、宿泊情報自体がかなり秘匿性の高い情報だと捉えられるので注意が必要だと思います。データ漏洩などが日本で大きく報じられれば、当然、欧州の当局も関心を持って、制裁を打つという可能性は出てくると思います。欧州に伝わるかどうかが、執行率を左右するということも十分あり得ると思います。



この記事をすすめる 編集部へのご意見ご感想

  
ソーシャルブックマーク
このエントリーをはてなブックマークに追加
Facabookでのコメント

朝日新聞ご購読のお申し込みはこちら

Information | 履歴・総合ガイド・購読のお申込み

Editor's Note | 編集長から

PC版表示 | スマホ版表示