見出し画像

【GDPR】EUによる日本の十分制認定と今後について(2)

前回はこちら

EU GDPR(欧州一般データ保護規則)に関する誤解は、いろいろとあるが、代表的なものとして以下のようなものが挙げられる。

・そもそもEUの法律なのでEUに拠点がなければ規制対象外
・EUの域外に個人データを持ち出さなければ問題は起き得ない
・EU市民の個人情報を取り扱う際には特別な注意が必要だ
・GDPRに対応した製品やサービスを導入することが重要
・EUの個人データを取扱う際には本人の同意を取付ければ問題ない
・今般、日本がEUから十分性認定されたので特別な対応は不要になった

個人情報保護に詳しい方であっても、1つくらいは「なぜ誤解なのか?」と思うものがあるのではないだろうか。しかし、上記は全てどこかしらに間違いが含まれている。少しトリッキーな書き振りになっているものもないわけでないが、1つ1つ解説していきたい。

EUの規則なのにEU域外にも影響が及ぶわけ

EUは、個人データのEU域外への持ち出しを原則禁止としています(厳密にはEUより少し範囲の広いEEAだが、解説は後にする)。

実は個人データ保護に関するEUの規則は、GDPR以前から「EUデータ保護指令」として存在していました。しかし誰も相手にしませんでした。

理由は、罰則(罰金)が無いに等しかったからです。

そこで、GDPRによって、一定の条件を満たさないまま、EU域外に個人データを持ち出した場合、厳罰に処すとしたわけです。

最大罰金額は、なんと前会計年度の全世界年間売上高の4%

EU域外に個人データを持ち出さなければ問題ない?

それでは、EU域外に個人データを持ち出さなければ問題は起き得ないのではないか?という考える人もいるかも知れません。確かに、金輪際、EUとは関わりを持たないという覚悟であれば、そうなのかもしれません。しかし、今の時代、特にグローバル企業の場合、残念ながらそういう訳にはいきません。

持ち出しというと、個人情報の記載された紙の文書やUSBメモリ等に保存された電子データを鞄に入れて越境するというイメージでありますが、それは過去の話し。そうではなく、国境に関係なくインターネットを通じてデータが行き交っているわけで、意識していないうちに個人データをEU域外に移転していることは十分に考えられる訳です。

EU域外からEU域内にある個人データを参照するだけでも、持ち出しに該当します。EU域内の人がEU域外から提供されたサービスを使えば、当然なんらかの個人データがEU域外にあるサーバに保存される訳で、それも域外移転として扱われます。

EU向けに域外からサービス提供をしただけで、EUの個人データを扱っていることになる分かりやすい例は、SNS(ソーシャル・ネットワーク・サービス)やクラウドサービスでしょう。SNSやクラウドサービスを利用すれば、本人も知らないうちに個人データを抜かれてしまう可能性があります。EU側の理屈としては、利用者本人がどのような個人データがどのような目的で利用されるのかを明確に理解していないまま、事業者側が個人データを利用することは、基本的人権の保護上の観点から禁止すべきであり、違反したら厳罰の処すべきとの考えになる訳です。

結果として、EUのことを意識せずにインターネット上でサービスを立ち上げただけで、GDPR違反(最大全世界年間売上高の4%の罰金)となるリスクを背負うことになるわけですね。

しかし、もっと重要なことは、GDPRは域外移転を禁止するためだけの規則ではないということです。

(3)につづく



続きをみるには

残り 0字

この記事は現在販売されていません