フランスのデータ保護規制当局であるCNIL(Commission nationalede l'informatique et des libertes:情報処理及び自由に関する国家委員会)は、米Googleに対し今年1月21日にGDPR(一般データ保護規則)違反で5000万ユーロの罰金支払いを命じたと発表しました。これは、GDPRの施行当日の昨年5月25日に非営利プライバシー保護団体NOYB(none of your business)がGoogleとFacebook等をGDPR違反で提訴していたことに対応したものです。
CNILは、NOYBおよび仏プライバシー保護団体LQDN(La Quadrature du Net)の提訴を受けてGoogleを調査し、Googleのサービスを利用するための手続きは、透明性と情報の義務に違反しており、広告のパーソナライズ処理に法的根拠を持たせる義務にも違反しているという結論に達したと説明しています。
広告のパーソナライズ処理ですが、ユーザーは自分が何に同意することになるのかの説明が具体的でも明確でもなく、同意の対象を十分に知らされていないとの指摘でした。CNILは、「GDPRの基本原則への違反の深刻度が大きいため、罰金の額(5000万ユーロ)と罰金を課すことを公表するのが正当だ。」と判断したそうです。
このニュースに接すると、GDPR違反の結果が非常に大きいことに認識を新たにします。ところで、GDPRは既にご存知の方も多いと思いますが、簡単に振り返っておきます。General Data Protection Regulationは、欧州連合において1995年からの「EUデータ保護指令」に代わり、昨年5月施行の規則です。EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインが対象国になります。これらの地域の”個人データに関する自然人の保護および同データの自由な移動に関する規則”とされているように、個人情報の保護及び個人データの移転と利用を規制しています。
なお、GDPRはEU域外の事業者へも適用されます。つまり、EU域外の企業等であってもEU域内の個人情報を取得して利用する場合は、GDPR違反に対して罰金が課される事になります。その課徴金額は、2,000万ユーロ(約26億円)又は全世界年間売上高(連結売上高)の4%のいずれか高い方とされています。従って、万一の場合に備えての対策が重要になります。
GDPRは、個人の名前や住所などはもちろん、IPアドレスやクッキーといったインターネットにおける情報までも網羅的に「個人データ」に含め、その処理(収集や保管)に類を見ない厳格な順守を求めている点にも留意しなければなりません。プライバシーマークに関して云えば、例えば労働組合活動等の情報は先の個人情報保護法改正によって要配慮個人情報から外れましたが、GDPRでは依然として要配慮個人情報としています。
もう一つの焦点である個人情報の移転に関しては、次のようになります。
1) EEA(欧州経済領域)の域内から域外への個人データの移転は原則として禁止
2) 例えば、以前の日本のように欧州委員会によって、適切な個人情報保護制度を有していると認められていない国への情報移転は、次のいずれかの要件を満たす必要があります。
・本人同意を得る
・拘束的企業準則(Binding Corporate Rules)を策定する
・標準契約条項(SCC:Standard Contractual Clauses)を締結する
3) 2019年1月23日に、日本が欧州委員会から「十分性認定」を得たとの発表がありました。これによりEEA(欧州経済領域)から日本に個人情報を移す際、個別に契約を結ぶ等の煩雑な手間やコストがなくなります。十分性認定とは欧州委員会から日本が一方的に認定されると云うものではなく、相互認証の関係が確立したということになります。但し、GDPR違反に対する罰則は何も変わりませんので、依然として安全対策が重要です。
具体的に、日本においてGDPRの影響を受けるのは、次の企業・団体・機関がすぐに思い浮かびます。
a. EUに子会社、支店、営業所、駐在員事務所を有している
b. 日本からEUに商品やサービスを提供している(ネット販売を含む)
c. EUから個人データの処理について委託を受けている
なお、プライバシーマーク認定企業の対策としては、GDPRの内容を良く理解することと、2018年9月に個人情報保護委員会が発表した「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を参照して、該当する場合は対策を講じることになります。こぼれ話として、当初この補完的ルールはガイドラインとして出す予定でしたが、一歩進んでガイドラインより上位の守らねばならないものと認識して欲しいのでルールとしたそうです。
■執筆者プロフィール
中村 久吉(なかむら ひさよし)
プライバシーマーク主任審査員、ITコーディネータ、中小企業診断士
e-mail: ohnakamura@gmail.com
コメントをお書きください