Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【プライバシー保護法制シンポジウム開催レポート】

前編:諸外国のプライバシー保護法制について日本本社はどう取り組むべきか?(2019年5月21日 東京)

バックナンバー

2019/07/08

今年に入り、米グーグルへの巨額制裁金事例、日本への十分性認定、日本企業のCookie利用情報開示が不十分であるとのメディア報道など、多くの重要事象が断続的に発生しEU一般データ保護規則(GDPR)の日本企業への影響は大きな転換期を迎えようとしています。加えて、中国、米国カリフォルニア州、ベトナム、ブラジル、ロシアなど、各国でプライバシー保護やデータローカライゼーションに関する法規制も強化されつつあります。
5月21日に六本木で開催したシンポジウム「GDPR執行の最前線とプライバシー保護法制を取り巻く世界情勢」では、バード&バード法律事務所ブリュッセルオフィス、西村あさひ法律事務所、大江橋法律事務所上海事務所からゲスト登壇者を迎え、プライバシー保護対応にITセキュリティ対策の法的要件も含まれてきた最近の現状も踏まえて、現地事情と実務ポイントに的を絞った議論を行いました。本レポートでは「各国毎に異なるプライバシー保護法対応について日本本社はどう取り組むべきか?」をテーマに行ったパネルディスカションの内容の要点を絞ってご紹介します。

登壇者

  • モデレータ
    IIJビジネスリスクコンサルティング本部
    副部長・プリンシパルコンサルタント 宮岡 泰治
  • パネリスト
    バード&バード法律事務所ブリュッセルオフィス
    パートナー弁護士 杉本 武重
  • パネリスト
    西村あさひ法律事務所
    パートナー弁護士 石川 智也
  • パネリスト
    弁護士法人大江橋法律事務所
    パートナー弁護士・上海事務所首席代表 松本 亮
  • パネリスト
    Global Solutions China Inc.
    副総経理・技術統括部長 李 天一
  • パネリスト
    IIJビジネスリスクコンサルティング本部
    本部長・プリンシパルコンサルタント 小川 晋平

1. 監督機関の抜き打ち監査や取締り、摘発のリスク

宮岡:杉本先生からGDPRという観点、李さんからは中国の状況として、何がトリガーとなって日本企業に対して抜き打ち監査、取り締まり、摘発がされるのかご説明いただけますか。

杉本弁護士:4つあると考えています。1つ目がデータ主体による監督当局への苦情申立て。2つ目はプライバシーアクティビストがレポートを作成してGDPR違反に関する詳細な苦情申立てを当局に送りつける場合。3つ目は保持している個人データの漏えいで、まず監督当局に通知を行った後に質問が来るというケース。4つ目は監督当局が一定のテーマを設定して年間計画のなかで定期的に行う監査があります。ドイツではさらにフェイクDPOではない、実態の伴うDPOの選任が行われているかまでチェックが来るとかなり危ないと考えています。

:中国では3つあります。最も多いのが警察当局における、能動的な検挙です。2018年11月に互聯網安全監督検査規定が、2019年1月には互聯網個人情報安全保護制度が発効され公安が動きやすくなりました、これが1つ目です。2つ目はCS法(サイバーセキュリティ法)の関連法規による取締りです。例としては、Eコマースを管理する法律で電子商務法があります。3つ目として行政機関によるキャンペーンがありまして、例としては不法APPによる個人情報違法採集撲滅や消費者委員会による企業の提訴があります。

宮岡:グローバルという観点で日本企業にとってリスクの高い業種、領域はどこになるでしょうか。また、何か特徴がありましたらご説明ください。

石川弁護士:消費者の個人データ、子供のデータ、健康に関するデータなど、センシティブなものほどリスクは高くなります。また、従業員に関するデータも、従業員本人からの権利行使が契機となって当局の指摘につながり得るため、決してリスクが低いわけではありません。日本企業も、自社の拠点がある国において、その拠点からみたときの国内(GDPRではEEA域内)は、業種に問わず摘発リスクは避けられません。

松本弁護士:第5回世界インターネット大会において、浙江省人民検察院院長の賈宇氏は「金融、通信、電子商務、教育、医療衛生、マスコミ等重要領域において個人情報保護に関する特別法令は制定されるべき」と述べています。また、重要インフラ運営者に該当する企業は、当局による監督または当局への報告が多く、監督機関は注目しています。これに該当する業種は公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービス等です。このような業種は中国政府が注目している比較的リスクの高い分野といえるのではないかと思います。

宮岡:これらの状況を踏まえて日本企業はどのように対応すべきか、または教訓のようなものがありましたら小川さんからコメントをお願いします。

小川:GDPR、中国CS法、またはその他の法制度についても運用が益々大事になってきます。GDPRでは30 条処理記録が1番重要だと考えています。この処理記録一覧は見直しをかけることをおすすめします。また杉本先生がご紹介されたフェイクDPO、実態の伴っていないDPOを選任している場合は当局により調査される恐れがあり、ドイツに進出する日本企業からも当社は相談を受けている状況です。IIJでは平時から有事まで運用アウトソーシングサービスを用意しておりますので、必要な場合はお問合せください。

2.「個人情報」の定義

宮岡:GDPR、中国CS法、CCPA(及び米国連邦法)を含めたプライバシー保護法制の世界的潮流について杉本先生から、また、中国の状況について松本先生からコメントをいただけますでしょうか。

杉本弁護士:法制化についてはGDPRの影響が大きく、タイで法制化され、インドでも法制化が検討されています。執行については世界的に強化の傾向です。GDPRに基づく執行事例が加速度的に増えてくる可能性があります。その間に、米国FTC(Federal Trade Commission)による某米国IT企業に対する30-50億米ドル(約3,300-5,500億円)の制裁金事例が出現すると言われています。この制裁金事例は、GoogleへのGDPR制裁金決定によってある程度高まっていたGDPRに基づく制裁金の相場をさらにもう一段階押し上げる可能性があります。プライバシー保護法制についてですが、EUと日本の十分性の相互認定は、「data free flow with trust」というG20大阪サミットで大阪トラックとして宣言されることになる新しいイニシアティブの開始につながっていくと考えています。今後は個人データ保護のみならず、非個人データの自由流通にも議論のフォーカスが当たるようになるでしょう。

松本弁護士:中国CS法は2017年に発効してからわずか2年であり、具体的な実施に関する法令及び基準が制定されつつある段階です。今後の動向としては、CS法の運用方法を含め、より詳細かつ具体的な規定が制定されていくと思われます。特に2018年の全人代(及びその常務委員会)において、立法計画に入れられた「個人情報保護法」には注目が必要です。今後制定される「重要情報インフラ安全保護条例」、「個人情報及び重要データ国外移転安全評価弁法」等の法令、及び全国情報安全標準化技術委員会が定める「情報安全技術 個人情報安全規範」他の個人情報保護に関する国家基準、ガイドライン等にも注意する必要があります。また取締事例が多く出始めていることからすると、CS法の適用も今後はより厳格になっていくと思われます。その際、施行から時間が経過していることから、何も対応できていない場合は処罰されるリスクが高まります。

宮岡:GDPR対応をようやく終えた日本企業にとって、今後重視すべきプライバシー保護法制はどこか、その理由と併せてお伺いできますでしょうか。

石川弁護士:ビジネスのタイプによりますが、世界で消費者向けに商品・サービスを提供し、その過程で個人データを取得する場合には、省けるところはないと考えます。GDPRの次にリスクが高いのは、地域としては、カリフォルニア州を含むアメリカにおける個人情報の取扱い、アジアでは中国CS法、さらにシンガポール、マレーシアなど法制化されて時間が経過し、当局の執行実績が豊富な国の重要性が高いでしょう。またグローバルでのデータ共有はインパクトが大きく、また、複数の拠点が関係することになるため各国の拠点に対応を任せるのは非現実的で、日本本社主導で対応するべきだと考えます。

宮岡:杉本先生はいかがでしょうか。

杉本弁護士:石川先生のご意見に同意です。追加してブラジルのGDPRの採択、及び長期的にはインドにもGDPRと同等の厳しい制裁金制度を持つデータ保護法の立法がなされる可能性が高いでしょう。但し、グローバルのプライバシー保護法制については、現地法が立法・改正されてから、一つ一つコンプライアンス対応を進めるやり方が本当にコスト効率が良く、ビジネスフレンドリーなのかは疑問です。企業グループがグローバルで比較的厳しいデータ保護のコンプライアンスプログラムを構築し、現地法への対応についてはマイナーチェンジで足る形とする方が効率的・効果的にデータ保護コンプライアンスを高めることにつながるのではないかと思います。

ツギハギのデータ保護コンプライアンスプログラム(日本の個人情報保護法を基に構築した日本本社のデータ保護コンプライアンスプログラムを、GDPR対応ということで改訂する、そしてその改訂版のプログラムをCCPA対応ということで改訂する)VS企業グループに一つのデータ保護コンプライアンスプログラム(例えば、可能な限り全世界の拠点でGDPRを遵守する)プラス現地法の特殊性を踏まえたマイナーチェンジです。

理由としましては最近新たに立法されるプライバシー保護法には域外適用の規定が入っていることが多く、これにより、例えば、カリフォルニア州の居住者の個人情報の処理を規制対象とする法律に対しても、米国内及び米国外からそのような個人情報を処理する拠点においては、同法を遵守する必要があり、そのため、域外適用の規定を持つ新しいプライバシー保護法の立法または改正法が成立するたびに、データマッピングという事実調査を行わなければならなくなりますが、これには相当の人的・金銭的なコストがかかります。

したがって、やり過ぎのように見えて、GDPR上の拘束的企業準則(BCR: Binding Corporate Rules)は、意外に合理的なグローバルデータ保護コンプライアンスのためのツールであると考えられます。データ保護のような規制分野において管轄当局のお墨付きをもらっておくことの意味合いは小さくないと考えます。

「世界のプライバシー保護法制の最新動向に関するレポート」に関する詳細情報はこちら