莫大な制裁金?GDPRとは? 【EUデータ保護規則のコンプライアンス その1】
法務


この記事の目次

第1:EUデータ保護規則は今年の5月から施行された


平成30年5月25日より、いわゆるEUデータ保護規則が施行されています。施行前後では、日本企業の間での認知度の低さや対応の遅れが指摘されていました。施行から約2カ月が経ち、ニュースなどで取り上げられる機会もやや少なくなり、「喉元過ぎれば熱さを忘れる」というような状態になっていませんでしょうか?

たしかに、これまでのところEUデータ保護規則を根拠とした大きな処分を聞きませんが、それは徳局の取締りがこれから開始するからに過ぎません。そのため、今からでも対応を講ずるのは遅くないですが、だからと言って先延ばしにし続けていいものではありません。既に法令が施行されている以上、対応ができておらず違反の状態が生じていれば、監督当局にとって後から処分を下す根拠となります。速やかに規制対応の必要性を見極め、適切な対応策を講ずるべきでしょう。

第2:EUデータ保護規則の特徴は?


EUデータ保護規則とは、EU圏内の個人データ保護に関する一般的なルールを定める法令です。EUには、個人データ保護一般のルールとして、従前、データ保護指令という法令が存在しましたが、これを改めて制定されたのが今回のデータ保護規則です。日本の法律で言えば、個人情報保護一般に適用の可能性がある個人情報保護法に対応します。

その特徴について、筆者としては次のようなところが要点だと考えています。

①非常に強力な制裁が用意されている
②EU圏内で直接に法令としての効力を持つ
③EU圏外に対する適用のルールが明確にされた

第3:①強力な制裁


まず、①制裁について、GDPRの下での制裁金の上限額は非常に数億円規高額に設定されていて、数年内に数億円規模の制裁金を課される企業が出てくることが予想されます。日本の個人情報保護法の下での罰金が数百万円単位であることと比較すると、インパクトの大きさが一層明確になります。

第4:②EU圏内で直接的効力=規制の統一化


次に、従前のデータ保護指令の下では、各国での採否は国内法にゆだねられていたのに対し、データ保護規則の下では、保護規則が直接規制としての効力を持ちます(上記②の点)。規制の統一化が図られると、実際の適用・執行の場面でも整合性が求められ、各国での監督が強化されても不思議ではありません。

報道などでよく取り上げられる越境移転の規制も、従前のデータ保護指令のときから既に存在していましたが、今後は、その適用・執行の可能性の点でより気を付けなければならないといえます。

第5:③域外適用ルールの明確化


さらに、③EU圏外に対する適用のルールが明確にされたことが、日本企業含め、EU圏外の企業が、今回のEUデータ保護規則に対して対応を迫られることとなった要因です。

データ保護指令の下でも域外適用があったものの、その外延は明確にされていませんでした。データ保護規則では地理的適用範囲に関する規定が設けられ、その活動の内容次第でEU圏外の企業一般に対しても広く適用があることが明らかにされたため、その対応の必要性が大きく取り上げられるようになったといえます。

なお、報道の記事などによると、越境移転規制と域外適用の問題を区別して理解しづらい部分があるかと思いますが、この点は、次回以降の記事で説明します。

まとめ


EUデータ保護規則は、EU圏内の個人情報保護法のようなものです。EU圏内の規制がなぜ関係するのか、と思われるかもしれませんが、日本企業にも関係し、さらにその制裁は非常に強力です。近年では、競争法(独占禁止)分野で、EUや米国の監督当局が、圏外や国外の業者に対してインパクトの大きい処分を下す事例が散見され、リスク意識が高まっていると思いますが、潜在的には同様のリスクがあると認識するとわかりやすいかもしれません。

次回は、EUデータ保護規則対応の要否について説明します。

記事のキーワード*クリックすると関連記事が表示されます

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。