GDPR Update ~違反に注意~ GDPR対応で見落としがちなポイントとは

インサイト
2019.01.01
  • セキュリティ

※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績をもとに、随時のタイミングでGDPR対応に関連する情報を配信しています。
本稿では、2019年1月21日の関連報道を受け、当社GDPRサポートチームによる日本企業のGDPR対応を含めた簡略な考察についてお送りいたします。

(免責事項)
当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。

概要

報道内容の骨子
  • 2019年1月21日、フランスのデータ保護機関(CNIL)が米インターネット検索大手G社に対し、欧州一般データ保護規則(GDPR)に違反したとして、約62億円の制裁金支払いを命令
  • CNIL指摘のポイントは、「アンドロイド」をOSとするスマートフォンでのアカウント作成に際する同意取得に関連した以下2点:
  1. G社から提供される情報が利用者にとって容易に入手可能ではない
  2. 広告を個別化する際に必要な利用者の同意を得ていなかった
関連する規制
  • GDPR第7条「同意の要件」第2項
    「別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない」(個人情報保護委員会作成の仮日本語訳より)

着目すべきポイント

本件で着目すべきポイントは、これまでしばしば報道されてきた、企業の「個人データの漏洩事故」に伴うものではなく、個人データの取扱の際の「公正性」「透明性」が不足していたことが違反の対象になっているという点です。このことは、GDPRが個人のプライバシー保護を目的とした規制であることを考えると容易に理解できますが、GDPR対応として、個人データが漏洩しないような仕組み作りや、万が一発生してしまった場合に72時間以内に所定の報告を行う体制を構築すれば一安心とはいかないことに、十分な理解が必要です。

さらに、個人データ取得の同意を得る際には、目的や保存期間について利用者にわかりやすくすること、収集した個人データがどの範囲で使われるかを利用者が認識しやすいようにすることなどの要件を、より厳格にとらえて対応する必要があります。これら2点については、G社のようなIT企業だけでなく、他の業界にも当然当てはまるため、一部業界に限定された課題ではないことに留意する必要があります。 

関連して理解しておくべき事項

時期を同じくして、欧州委員会が日本の「十分性認定」を行うことを決定しました。(2019年1月23日) これにより、EUから日本に個人データを「持ち出す(移転)」際に利用されていたSCC(標準的契約条項)は不要となり、手間やコストが削減できることになります。

ただし、注意すべき点として、今回日本が欧州委員会から十分性認定を受けたからといって、EU域内から移転された個人データの取り扱いについて何ら対応する必要はないということではありません。今回の日本に対して行われた「十分性認定」に際して、個人情報保護委員会が公表している「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を公表しており、日本企業は、EU域内から日本国内への個人データの移転に際しては、日本の個人情報保護法及びこの補完的ルールを遵守する必要があります。

今回、G社がCNILから指摘されたのは、取得した個人データを「処理」する際の同意取得方法が、不十分だったという点といえますが、GDPRを考える場合、つい個人データの漏洩問題に注目が行きがちですが、今回のG社の制裁金のケースは、個人データの取得段階から適切な対応をしなければならないという教訓を与えるものであり、日本企業も「十分性認定がなされたことで、GDPR対応はもはや不要」という認識は正しくない点を理解しておく必要があります。

日本企業にお伝えしたいこと

これらの一連の動きを受けて、自社のGDPR対応が「データ漏洩事故等が発生した場合の迅速な対応ができる体制整備」や「社内規程の整備」などに重心が傾きすぎていなかったかについて、振り返ることが重要です。
具体的には、個人データの取得に際し、顧客の同意をどのように得ているか、提示している個人データの利用方法が具体的かつ明示的になっているか(可能性や、事例を挙げるだけでは不十分)、確認する必要があります。
そのためには、個人データを利用している業務を漏れなく洗い出し、取得の法的根拠や利用目的を明確にしていく対応が重要です。その上で、明確化されたかかる内容を必要に応じて、EU域内の顧客や自社従業員等との間で取り交わす同意文面に反映する必要があります。

なお、日本企業のGDPR対応推進上の課題には、EU域内拠点だけの対応にとどまってしまい、全社プロジェクトとしての体制が構築されていないパターンと、日本の本社主導でプロジェクトを推進しているものの、特にEUの買収子会社等を十分に巻き込めていないパターンが代表として挙げられます。GDPR対応は、これらにも留意しつつ、優先度をつけて社内横断的に一気に取り組むことが重要です。

Contact

相談やお問い合わせはこちらへ