Translate

2018年10月18日木曜日

GDPRの対応に迫られる日本のグローバル企業

 個人情報保護法が成立した前後には、月に何度も個人情報保護セミナーの講師で呼ばれ、その法律の概要と対策についてさんざん話をしました。個人情報保護法は2003年5月に成立しました。これは、米国のSOX法が2002年に成立し、2004年11月15日以降終了事業年度から適用が開始(早期適用会社が対象)されたのと、ほぼ同タイミングでした。
 この2つの導入支援業務は、どちらも私の(部門の)仕事だったのですが、日本企業にとって、内部統制を全社レベルで見直す最初の契機になりました。同時に、それまで、全社レベルに内部統制を導入する支援(コンサル)を行ったことがなかった私たちにとって、非常に大きな勉強をさせていただく機会を与えてもらったということも言えます。

1 日本企業にも多額の課徴金が課される可能性がある
 さて、その個人情報保護法は日本の法律ですが、ヨーロッパ(EU)では、GDPR(一般データ保護規則=General Data Protection Regulation)が、2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日より適用されています。(Brexitで英国がEUから離脱しますが、GDPRが英語だというのは少し気になります。使用言語とEU離脱は別なのだと思います。イギリス人がいなくても、ヨーロッパの人は英語で会話しています)
 この分野に詳しい、影島広泰弁護士のお話を聞いてきました。GDPRについてはほとんど勉強していない状況でお話を聞きましたが、1時間半の間で、非常に多くの内容について良く解る解説をしていただきました。
 なぜ、日本企業がEUの規則に気を付けなければならないかというと、それに違反するとEUから多額の課徴金が課されることになるからです。日本企業が日本の法律に違反したら処罰されるのは当たり前ですが、海外の法律や規則に違反した場合にも処罰されることがあります。これは日本企業が海外で事業を行うか、または、海外の顧客を対象に国内で事業を行うことがその主な理由です。
 たとえば、有名なところではFCPA(海外不正支払防止法)は、米国に上場している日本企業は、米国で事業を行っていなくても米国の企業と同じように適用されます。この法律は、米国に上場していない日本企業が、米国外で海外高官に賄賂を「米ドル」で支払っただけで適用されることがあるとされています。ちょっとこれはやりすぎ感があります。

2 GDPRの概要
 GDPRは、次の2つの内容で構成されています。①個人データの保護のルール ②EU域外への移転の規制。日本企業にとってGDPRは次の3点から検討が必要になります。①GDPRが適用されるのか、②適用がある場合GDPRを遵守すること ③EU域外への移転への対応。
 簡単に言うと、GDPRが適用される日本企業は、それを遵守する必要があり、それにはEU域外移転への対応も必要ということになります。
 今後状況が大きく変わる点としては、EUによる日本の「十分性認定」が年内に行われる見通しだということです。十分性が認定されるということは、GDPRが適用される日本企業は、EU域内企業と同等に扱われるということです。日本の個人情報保護法は、GDPRより緩いので、それに日本の個人情報保護委員会が公表した「補完的ルール」を上乗せすれば、GDPRと同等になるので、日本はEU域外ではなく、EU域内ということになるというとだと思います。(正確には、EU諸国と同一性が認定された国に適用されるルールは少し違います)
 十分性認定がされれば、日本企業は、GDPRに規定されたEU域外移転のルールが適用されなくなります。ただし、その場合でも日本から同一性認定されていない国・地域への個人データの移転には域外ルールが適用されます。
 結果として、GDPRが適用される日本企業は、日本の個人情報保護法+補完的ルールを適用していればよいということになるはずです。
 同一性認定前の現状では、EUにある子会社と日本の親会社で標準契約書(SCC)を締結する必要がありましたが、同一性認定されればそれは不要になります。また、EU域外企業がGDPR適用となる場合には、EU域内に代理人を置く必要がありますが、それも同一性認定されれば不要になるはずです(これは未確認)。

3 GDPRが適用される日本企業とは
 それでは、GDPRが適用される日本企業とはどんな企業でしょうか。①「EU域内に拠点がある企業」:法人や支店登記をしているかは関係なく、駐在員がいるというだけで拠点となるようです。この点は、課税されるかどうかの判定に使われるPE(permanent establishment)より対象が広いということになります。
 ②「EU域内にいる個人(データ主体)に対して商品やサービスのオファーをする場合」:たとえば日本国内のサーバーでEUの人向けのネットショッピングサイトを開設する(ドイツ語で表示しユーロで支払いなど)③「EU域内のデータ主体の行動を監視する場合」:たとえばEU域内の個人がどのインターネットサイトを見たかを監視・分析しブラウザーに広告を出す場合。
 たとえば、ドイツでの見本市に展示して自社商品の売り込みを行うことは、EU域内で商品をオファーすることになるので、GDPRが適用されることになります。しかし、ドイツの会社に表敬訪問して名刺交換する場合は、商品・サービスをオファーしているのではないので、適用外となります。

4 日本の個人情報保護法との違い
 GDPRと日本の個人情報保護法はどんな点で異なるのでしょうか。最大の違いは、本人からの同意です。日本でも個人情報の第三者提供に対しては本人の同意が必要となります。これと同等の同意が、個人情報の収集の時にも必要になります。
 そもそも、GDPRでは「処理」は原則禁止で、明示的な同意があったときに例外的に「処理」を認めるとしています(9条1・2項)。ここが大きく違います。この処理には、収集、保管、削除、訂正、閲覧、移転のすべてが含まれます。
 ただしGDPRでは、本人の同意がなくても適法に処理できるケースが5つ規定されています(6条)。その中では、取引・雇用関係上必要な場合や正当な利益のために処理が必要な場合が良く使われる事例であるとのことです。
 個人情報の処理において、本人の同意が必要という点については、日本、米国、香港が例外であり、その他の個人情報保護法がある国では、同意が必要という法律になっているとのことでした。

5 日本企業による対策
 日本のグローバル企業のほとんどはGDPRが適用されることになります。その対象範囲は、EU内の子会社・関係会社や日本の親会社だけではなく、EU域外の子会社・関係会社も含まれます。そのため、子会社・関係会社を含むグループ内の個人情報保護ルールをGDPR化することが求められます。
 これには、個人情報保護法の導入の時に経験したように、社内規程の改訂だけでは全く不十分です。個人情報保護が収集・保管などの処理が行われる部署の識別などの現状把握、業務マニュアルの見直し、周知徹底、社員教育、自主点検、内部監査、内部監査指摘事項への対応のPDCAが必要になります。
 言うまでもなく、違反すると多額の課徴金が課されることになるため、取締役会では、GDPRに係る内部統制の整備運用状況の監視監督が必要になるでしょう。