GDPRの執行制度
今回のGDPRの欧州議会での採択に先立って、日本のマスメディアで最も大きく取り上げられたのがGDPR上の強力な執行制度であったと言ってよいでしょう。GDPRは、(i)監督当局(Supervisory Authority)による高い制裁金を課し(ii)適切な制度的枠組みを設定することにより、強力な執行を保障しようとしています。
i.制裁金制度
GDPRの制裁金の上限は、二つの類型があり、
①前事業年度の企業の全世界年間売上高の4%以下または2000万ユーロのいずれか高い方
②前事業年度の企業の全世界年間売上高の2%以下または1000万ユーロのいずれか高い方
のいずれかとなります。下の表はGDPR上の代表的な義務違反の種類を示したものです。
制裁金額の上限 | 義務違反の種類 |
---|---|
企業が右記のいずれかに当てはまる場合、前事業年度の企業の全世界年間売上高の2%以下または1,000万ユーロ以下のいずれか高い方 |
|
企業が右記のいずれかに当てはまる場合、前事業年度の企業の全世界年間売上高の4%以下または2,000万ユーロ以下のいずれか高い方 |
|
管理者/処理者が、故意または過失により、同一あるいは関連する処理業務に関して、GDPRの複数の条項に違反した場合、制裁金額の合計額が、最も深刻な違反に対して課される制裁金の額を超えることはありません。
監督当局は、制裁金を課すかどうか、また制裁金の金額を判断するにあたり、以下の基準に配慮する必要があります。下のリストを見るとGDPRのコンプライアンス対応を行っていた場合の方が、行っていなかった場合よりも、制裁金が減額される可能性があることが分かります。例えば、「リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった」という義務違反については、自社でセキュリティチェックを行う能力がある会社は自らチェックを行うことで足りる場合もあり得ますが、外部の信頼できるITソリューションのサービスプロバイダーによるセキュリティチェックを受けることが、制裁金を課されない、または制裁金を低く抑えるためのポイントになるといえます。
- a)問題となる処理の性質、範囲、または目的、影響を受けるデータ主体の数、およびデータ主体が被った損害のレベルを考慮した、違反の性質、重大さおよび期間
- b)違反の故意性または過失性
- c)データ主体が被った損害を緩和するために管理者または処理者が講じた措置
- d)GDPR第25条および第32条に基づき実行された技術的および組織的対策を考慮した、管理者または処理者の責任の程度
- e)管理者または処理者による関連する以前の違反
- f)違反を救済し、違反によって生じ得る悪影響を緩和するための、監督当局との協力の程度
- g)違反によって影響を受けた個人データの種類
- h)監督当局が違反を知ることになった経緯、特に、管理者または処理者が監督当局に違反を通知していたかどうか、通知していた場合、どの程度通知を行ったか
- i)GDPR第58条第2項に言及のある方策が以前に管理者または処理者に対して同じ係争に関して命じられていた場合、当該方策への遵守
- j)承認を受けた行動規範または承認を受けた認証手続への遵守
- k)違反によって直接または間接に、獲得した金銭的利益、被らずに済んだ損害等の事案に応じたその他の加重または軽減事由
・IIJプライバシー保護規制対応ソリューション
・IIJ DPOアウトソーシングサービス
杉本 武重
S&K Brussels法律事務所 代表パートナー
弁護士(日本、ニューヨーク州、ブリュッセル(B-List))
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。