2019年 日本はGDPRの例外に
日本が十分性認定の対象国に
2019年1月22日に、個人情報保護委員会より欧州連合(EU)と日本をまたぐ個人情報や個人を特定するデータの流通において、日本をGDPRの例外として認めるという発表がありました。
これは、日本に既にある個人情報保護法をはじめとする各種個人情報の管理の枠組みが、EUから見ても「データ保護の水準が十分な国」という形で理解された形となり、翌23日には日欧で正式に認定されました。
この十分性認定によってこれまで恐れられていたGDPRに則った煩雑な作業的負担や、GDPR違反の制裁リスク等が軽減され、EUからデータを円滑に移転できるようになりました。
EU域外国であっても、欧州委員会がデータ保護に関する施策がEUと同等水準であると認める仕組みで、欧州委員会よりこの「十分性認定」を受けることができた際には、個人情報保護法などの仕組みをもって代用できるようになります。
ただしGDPRと完全に無関係になった訳ではない
EUで個人情報を収集する場合はGDPRの対象
日本の企業がEUにおいて個人情報を収集したり、そのデータの管理をする場合は、従来通りのGDPRに則った厳格な対応が求められます。具体的なケースを挙げると、日本企業でEUに現地法人を有しており、その現地法人がEU域内で個人情報を収集する場合はGDPR対応が必須となります。今回のGDPRの十分性認定は、日本国内での個人情報の収集や管理に限って例外対象となっているので、日本の本社側としてはこのようなケースに該当していないか、十分な調査をする必要があります。
GDPRの罰則が無くなった訳ではない
日本がGDPRの十分性認定を受けたからと言って安心はできません。今回の十分性認定は、あくまでGDPR対応として求められている「データ取得の際の個人情報の取得同意」や「決められたフォーマットでの契約締結」などの手続が不要となっただけであり、個人情報に関する法令違反等があった場合はGDPRの罰則対象となる可能性は残ったままです。
GDPRの制裁金についておさらいしよう
高額の制裁金が課せられる可能性
GDPRの制裁金が課せられた場合、最大で企業の全世界年間売上高の4%、または2,000万ユーロのいずれか高い方を支払わなければなりません。
たとえば、売上が800億円の企業であった場合、4%の計算で32億円、2,000万ユーロ(約130円/1ユーロ)の計算で26億円となり、高い方が制裁金となるので最大で32億円が課せられます。
制裁金4%の対象はEEA域内での売上だけではなく売上全体が対象に
制裁金の4%についてですが、EEA域内での売上が10億円であればその4%となる2,500万円が制裁金(もしくはもう一方の条件の上限である2,000万ユーロ)と思う方もいらっしゃると思いますが、GDPRではEEA域内での売上だけではなく、企業全体の売上に対して4%の制裁金を課してくる可能性があるという点です。
全世界の売上全体が800億円でその大半が日本における売上であり、EEA域内での売上がたった1%強であったとしても、制裁金4%の対象となる売上は800億円の方となり、制裁金は最大で32億円という計算になります。
施行初日からGoogle等が提訴され制裁金4,000億円超の可能性も
GDPRが施行された2018年の5月25日の初日から、早速GoogleやFacebook等がGDPRを侵害しているとして提訴されました。
売上額の大きい世界的な企業となると制裁金の4%は恐ろしいまでに巨額となりますが、Googleの親会社であるアルファベット社の2017年の売上は約12兆円であったため、この4%の制裁金となると4,800億円にものぼる可能性が出てきています。
世界売上5位、国内売上1位の「トヨタ自動車」の場合、2017年の売上額は約27兆円ですので、アルファベット社の2倍以上の制裁金が課される可能性があるということで、売上額の大きい企業ほどGDPRについて早期かつ十分な対応が必要であると言えます。
子会社や業務委託先について管理者責任を問われることも
GDPRでは管理者責任も問われることから、EEA域内の個人データを扱っている企業で子会社がある場合には、子会社の管理責任も問われる可能性があり、子会社だから関係ないという主張を通すのは難しいと考えるべきでしょう。
このように日本の本社としては違反していなくとも、海外子会社や各地の拠点がGDPRに違反しているケースなども考えられますので、会社や関連会社のガバナンスも含めた対応策の検討が重要です。
また、業務委託をしている場合も管理責任が問われることから、委託先で個人データを扱っている場合などは、委託先の個人データの管理体制も適切に構築されているか注意が必要です。
特にリストを使って営業的なフォローアップメールやTELコールの実施、他にもユーザーサポートをアウトソーシングしているようなケースにも気を配らなくてはなりません。
これを機に個人情報保護法等の整備を再チェック
日本が例外となったということで安心するのではなく、個人情報保護法などの対応がしっかりとなされているか、違反している点などはないかなど、今回の十分性認定を機に改めてチェックするのが良いでしょう。
チェック方法やどこまでチェックが必要であるかなど、対応について不安な時は専門家に相談するのが得策です。
GDPRの専門家「三菱UFJリサーチ&コンサルティング様」
三菱UFJリサーチ&コンサルティング様は、MUFGグループの一員として海外に幅広いネットワークを保有し、GDPRの最新の動向を常にモニターできる体制を構築されています。理想論のあるべき体制の構築だけではなく、日系企業の現状と、GDPRが求める要求の差分を究明することで、最小限の対応で解決できる道筋をご提示することを心がけている企業様です。
三菱UFJリサーチ&コンサルティング 業務ICTコンサルティング部
シニアマネージャー 河合 一憲
問い合わせ先(Email):info-security@murc.jp
【無料資料ダウンロード】GDPR対応状況 フローチャート型簡易診断
提供:三菱UFJリサーチ&コンサルティング様
提供:三菱UFJリサーチ&コンサルティング様
三菱UFJリサーチ&コンサルティングは、三菱UFJフィナンシャル・グループ(MUFG)のシンクタンク・コンサルティングファームです。東京・名古屋・大阪を拠点に、民間企業向け各種コンサルティング、国や地方自治体の政策に関する調査研究・提言、経営情報サービスの提供、企業人材の育成支援、マクロ経済に関する調査研究・提言など、幅広い事業を展開しています。
