1. HOME
  2. 特集
  3. デジタルプライバシー
  4. 日本企業、巨額制裁の恐れも 欧州の新たな保護法制GDPR(上)

日本企業、巨額制裁の恐れも 欧州の新たな保護法制GDPR(上)

World Now
GDPRの条文
GDPRの条文

欧州連合(EU)525日に施行するのが、「一般データ保護規則」(GDPR= General Data Protection Regulation)だ。EUの執行機関の欧州委員会が、2012年に欧州議会と理事会に提案。20164月に採択された。前文173項、全99条あり、施行に向けて、条文の解釈などについてのガイドラインを欧州当局が次々に打ち出している。

 

日本情報経済社会推進協会(JPIDEC)による仮訳はこちら。ガイドライン(英語)の草案などはこちら(欧州委員会のサイト)


注目を集める最大の理由は、違反した場合の罰則だ。制裁金は、最大で2000万ユーロ(約26億円)、もしくは全世界の年間売上高(Turnover)4%1兆円企業なら400億円、10兆円企業なら4000億円にもなろうという規模だ。EU向けにビジネスをしていれば、もちろん日本企業もその対象になりうる。

個人データ保護に厳しいドイツでも、制裁金は最大で30万ユーロ(3900万円)でしかなかったこれまでに比べれば、大きな変化だ。日本の場合、東証一部上場企業でも、売上高に占める経常利益率は平均で7%ほど。最大の制裁を受けてしまったら、その半分以上が吹き飛ぶ計算になる。

そんなに厳しい罰則、本当に科すことができるのだろうか?

単なる「脅し」ではないのだろうか?

そんな疑問を胸に、ギブソン・ダン・クラッチャ―法律事務所のブリュッセルオフィスに杉本弁護士を訪ねたのは、GDPR施行まで4カ月を切った1月下旬のことだった。

杉本弁護士は、日本貿易振興機構(JETRO)の「EU 一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)(2016年)や「同(実践編)(2017年)も手がけたこの分野の専門家。実際に欧州で日本企業への法的アドバイスも担当している。

柔和な表情から出てきたのは、思っていた以上に厳しい言葉だった。


「欧州当局は、違反に対してはそれなりの制裁金を科してくるだろう」

「競争法と比べても、制裁を出しやすい法律だ」

5月以降、欧州当局がどこにどんな制裁を科してくるのか。欧州でビジネスを展開する企業の経営陣にとっては、すでに頭の痛い問題になっているのだという。

くわしいやりとりを 2回に分けてお届けする。

すでに始まっているGDPRの影響

デジタルプライバシー_日本はどう備える_2
杉本武重弁護士

――5月にGDPRの施行が控えています。日本への影響も大きいのでしょうか。

GDPRの採択は2016年で、施行は今年の525日ですが、日本企業への影響は、すでに出ていると思います。

欧州で事業を展開している日本企業は、GDPRに対応するための社内体制づくりをすでに始めていますし、コストもかかってきています。その影響は欧州の現地法人だけではなく、本社にも及んでいます。

――欧州だけでなく、日本の本社も対応が必要ですか。

もちろん、そういう疑問もあると思います。

しかし欧州は今でも日本などへの個人データの移転を制限していて、移転するには移転契約、例えば、欧州委員会が決定をした標準契約条項(Standard Contractual Clauses: SCC)の締結などが必要です。その契約の条件は欧州並みの保護をすることです。つまりGDPRが適用開始されれば、欧州から日本へ移転したデータについては、GDPR並みの保護を求められることが推測されます。

日本企業が、欧州で集めた顧客や従業員などの個人データを本社に移転するという場面は、いろんな部署で頻繁に起こっていると思います。総務部門や人事部門でもあるでしょうし、営業部門でもあるでしょう。すると本社がGDPRに対応しない理由がないのです。

それに日本側の対応が不十分なままなのに、欧州から日本の本社にデータを送ったとなると、その欧州法人がGDPR違反を問われかねません。この面からも日本側から対応しておくべきでしょう。さらに経営陣からすれば、もし本社が対応していないために制裁を受ければ「分かっていたのに対応を取らなかった」として、株主から善管注意義務違反を問われかねないという発想になるでしょう。すると、やっぱり対応しておくしかないということになります。

――本社側でももうかなり対応が進んでいるのでしょうか。

実際には、大手ではもう本社側で対応を進めている企業の方が多いのではないでしょうか。例えば、実際に欧州とどんなデータをやりとりしているかを把握しなくてはいけませんので、質問票をつくって、社内の全部門に調査をかけているような会社もあります。私の知っている範囲では、全世界の800を超える社内部門・現地拠点に調査をかけて、社内体制をつくっているところもありますね。

――ものすごく大がかりですね。

みなさん悩まれるのは落としどころです。例えば欧州と、日本の本社でデータ保護体制をつくるのはいいとして、ごくまれに欧州からインドの現地法人にデータを送っているような場合、インドでも対応が必要なのか、といった悩みが生じます。

極端な話でいけば全部という話になってしまいますが、さすがにコストがかかり過ぎます。ですからやらないということではなく、何年かにわたる計画を立てて、リスクの高いところから手をつけていくことになります。次の年度にやる計画をつくっておくとか、当局に説明のつく形にしておかなくてはなりません。そんな頭痛のタネになっているという意味でも、すでに影響は出てきています。

――かなり大きい罰則がありますが、制度も細かく、準備も大変です。本当に執行できるのか、と疑問も感じます。

私は、違反に対してはそれなりの制裁金を科してくるものと思っています。

欧州では、個人データの保護はEU基本権憲章にあるように、すべての人が持つべき基本的人権として捉えられています。この考え方の流れはずっとありました。しかしながら、法の執行という意味ではあまり目立ってはいませんでした。

そこで欧州当局は、EU競争法の執行を見習ったのではないか、というのが私の考えです。

EU競争法は、日本で言えば独占禁止法にあたる法律です。欧州当局はこれを日米の様々な企業に適用し、数十億円、数百億円、場合によっては数千億円にものぼる制裁金を科してきました。これは競争行政を進める財源にもなりましたし、さらに競争法を、欧州の経済を守ったり、成長を促したりすることにも使おうという意思を示す政治家もいます。

同じように、データ保護についても強力な権限を持ち、制裁金による収入を上げ、データ保護行政に生かしていこうという考えが働いているのではないかと私はみています。

欧州当局の姿勢が変わった

デジタルプライバシー_巨額制裁の恐れ_1
ブリュッセルの欧州議会

――欧州ではグーグルやフェイスブックなど、アメリカのIT大手への厳しい判決も相次ぎました。

中でも大きかったのが、欧州連合司法裁判所が2015年に出した、シュレムス判決(セーフ・ハーバー協定無効判決)でしょう。

先ほども申し上げましたが、EUは原則として、個人データの第三国への越境移転を禁止していて、移す場合はそのための契約(SCC)その他の適切な保護措置が必要です。ただし米国とEU2000年にセーフ・ハーバー協定という特別な協定を結び、米国政府に自己認証を申請した米国企業に対しては、契約がなくても個人データを移転できるようにしていました。これを無効としたのがシュレムス判決です。

もともとEU側には、セーフ・ハーバー協定を結んだ後も「米国はデータ保護のルールを守っていない」という不満がずっとあったと思います。そのうえに2013年のスノーデンの告発で、本当に米国政府が情報を集めていることが分かってしまった。

それでも、無効判決が出ると思っていた人は、少なかったと思います。ところが、本当に無効にしてしまった。これは、欧州当局の姿勢を大きく変えたと言えると思います。

――データ保護に、より前向きになったわけですね。

実際に20166月、ドイツのハンブルグの当局は、従来の手続きのまま欧州から米国にデータを移していたアドビやユニリーバ、ペプシの子会社に制裁金を科しました。シュレムス判決でセーフ・ハーバー協定が無効となったことを踏まえ、従来の手続きのまま欧州から米国にデータを移転するのは、違法だと判断しました。これで、欧州当局が本気だという姿勢が見えました。

米欧はその後、新しい協定となるプライバシー・シールドを168月に施行します。ですが、その1年後のレビューでは、欧州側はいくつかの懸念をあげ、「米国が与えられた期間(2018525日まで)内になんの対応もとらない場合は、今度はプライバシー・シールドの有効性を問う訴訟を起こすことを加盟国当局に求める」とはっきり言っています。

――企業は、やはりデータ保護には後ろ向きなんでしょうか。

欧州では、日本と比べれば一般的に企業のデータ保護への意識は高いと思います。それでも、コンプライアンス対応の優先順位が高かったかと言えば、1番手ではなかったと言えるでしょう。企業は、限られた予算を振り分けるときに、生産性を考えます。コンプライアンス対応についても、違反を問われた時のリスクの高いものから手を打つことになります。

その順番は、まず競争法が来て、次に腐敗防止法。データ保護法はその他のものも含めての3番手集団だったのではないでしょうか。各企業とも「細かく見ると法に触れる部分はあるかもしれないが、当局側もそこは突いてこないだろう」「欧州におけるデータ保護当局による執行は厳しくない」と、安心していた部分があると思います。それだったら、競争法への対応を頑張ろう、という姿勢です。

――そうも言っていられなくなるということですね。

シュレムス判決後にハンブルグの当局が制裁金を科したことで、データ保護のコンプライアンス違反が本当に問われること、しかもグーグルのような巨大IT企業だけではなく、一般企業にも適用されることがはっきり分かりました。

特に、データ保護法の域外移転規制に違反した場合、つまりSCCなしに個人データをEU域外に移転させたような場合でも、制裁金が科せられうることが分かったのです。

このときの制裁金は11万ユーロ(130万円)ほどですから、大手企業には怖くない金額です。しかし当時のドイツの制裁金の上限は、30万ユーロ(3900万円)でした。上限の30分の1です。しかも、当局は違反が続けばさらに金額を引き上げる姿勢でした。

そこから、GDPRで制裁金の上限が「2000万ユーロ」(26億円)や「事業者グループの全世界年間売上高の4%」に引き上げられた場合は、いくらぐらいの制裁金を科される可能性があるのか、推測できるようになりました。コンプライアンスの担当者が、経営陣に具体的にリスクを説明することが可能になったのです。

(下に続く)