Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【海外識者シリーズ】杉本武重氏(全5回)

第1回:EUで始まる新しい一般データ保護規則「GDPR」とは?

バックナンバー

2016/07/04

はじめに

2018年5月25日、欧州連合(European Union)(以下「EU」といいます)において、新しい個人情報保護法の適用が開始されます。この新しいEUの個人情報保護法の正式名称は、General Data Protection Regulation(一般データ保護規則)(以下「GDPR」といいます)です。GDPRは欧州でビジネスを行う日本企業に対し、大きな影響を与えるEU法であると言われています。本連載では、GDPRの基本を説明するとともに、実務上の対応のポイントについても簡潔に解説します。

EUのデータ保護指令からGDPRへ

EUのデータ保護法は、GDPRの適用開始によって初めて誕生するものではありません。EUにおけるデータ保護法としては、1995年のデータ保護指令に基づいて、EUの加盟国各国が立法した、加盟国法としてのデータ保護法があります。GDPRの適用開始日までは、加盟国法としてのデータ保護法の執行が引き続きなされます。過去20年間に、急速な技術革新とグローバリゼーションが進展し、データの共有と収集の規模が飛躍的に増大してきました。それに伴って、「個人データ保護には新たな課題が提起されており、EUでは強固な執行に支えられた、強力でより明確なデータ保護の枠組みが必要とされている」と考えられたことが、2012年に欧州委員会でGDPRの立法提案が行われたきっかけでした。

2016年4月14日、GDPRは欧州議会において正式に採択されました。その後、GDPRの適用開始日が2018年5月25日となることが決まりました。GDPRは、「EUデータ保護法の範囲の拡大」、「統一性の増大」、「企業に対する説明責任義務の導入」、「個人の権利の強化」、「制裁と執行の強化」を目的とするものです。GDPRに違反した企業には、最大で、企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方を上限とする高額の制裁金が科せられる恐れがあります。

EUデータ保護指令 95/46/EC

  • 指令に基づきEUの加盟国各国が立法した加盟国法としてのデータ保護法。
  • 法を実施する個々の国により大きく異なる。
  • 第29条作業部会(以下「作業部会」という)は、ある特定の問題に関して共通の解釈と分析を提供することにより、EU加盟国のデータ保護法の解釈にある程度の調和をもたらす。
  • 法的執行および制裁

GDPR

  • 加盟国法としてのデータ保護法を廃止し、一つのEU法としてのデータ保護法とし調和を増大させる。
  • EUデータ保護法の範囲を拡張する。
  • 企業に対して新たな説明責任を導入する。
  • 個人の権利を強化する。
  • 制裁と執行を増大させる。
  • 作業部会は欧州データ保護会議(European Data Protection Board)(以下「EDPB」という)へと改組される。

作業部会は以下の3つによって構成されます。

1. 各EU加盟国によって指名された監督機関の代表者
2. EU機関のための監督機関である欧州データ保護監視官局の代表者
3. 欧州委員会の代表

1997年以来、作業部会は数々の拘束力のない意見書およびレコメンデーションを発出しており、EUのデータ保護法の実務において大きな影響力を有してきました。GDPRでは、作業部会の機能を欧州データ保護会議が引き継ぐことになります。

EUのデータ保護法の目的

EUのデータ保護法は、個人データの保護に対する権利という基本的人権の保護を目的とするものです。EUのデータ保護指令第1条は、「当該指令の目的として、EUの加盟国が当該指令に従い、自然人の基本的人権、特に、個人データの処理に関するプライバシー権を保護しなければならない」と規定しています。また、EU基本権憲章第8条第1項およびEU機能条約第16条第1項は「全ての者が自己に関係する個人データの保護に対する権利を有する」と規定しています。GDPRは自然人の基本的人権と自由、特に個人データの保護に対する権利を保護することを目的とするものとされています。すなわちGDPRは、EUの憲法であるEU基本権憲章によって保護される価値である個人データの保護に対する権利を保護することを目的とするEU法なのです。これが、GDPRの解釈を考える上でまず忘れてはならないポイントの一つです。

IIJではGDPRを始めとする世界各国のプライバシー保護規制対応支援するソリューションや、お客様のGDPR遵守対応をサポートするDPOのアウトソーシングサービスをご提供しています。
IIJプライバシー保護規制対応ソリューション
IIJ DPOアウトソーシングサービス

杉本 武重

S&K Brussels法律事務所 代表パートナー

弁護士(日本、ニューヨーク州、ブリュッセル(B-List))

2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。