いよいよ明日、2018年5月25日から、ヨーロッパにおける個人情報保護法ともいえる「一般データ保護規則」(General Data Protection Regulation:以下、GDPRと略します)が施行されます。
GDPRとは
従来、EUでの個人情報保護では1995年に採択された「EUデータ保護指令」(95/46/EC指令)が適用されていましたが、GDPRに置き換わり、以下のような変更があります。
- EEAにおける個人情報保護の取り組みの強化
- 違反した場合には多額の制裁金の賦課
- EEA域内に拠点がない場合でも適用される
※EEA…28のEU加盟国とアイスランド、リヒテンシュタイン、ノルウェーの合計31か国
この規則により、EEAの域内に居住される市民の個人情報に関する権利が強化され、その裏返しとして個人情報を管理する側の義務も重くなります。
具体的には、アクセス権、訂正権、削除権、処理を制限する権利、データポータビリティ-の権利、異議を述べる権利、プロファイリングを含む自動処理に基づく決定に服されない権利などが付与されます。
一方、管理者側には、処理の安全性を担保する安全措置、個人データ侵害時の監督機関への通知、域外の管理者による代理人の選任、データ保護担当者(DPO)の任命、個人情報収集に際の通知と同意、EEA域外の第三国へのデータ移転に関する規定の遵守といった義務が生じます。
これらの義務に違反した場合、2,000万ユーロ(1ユーロ=約130円計算で約26億円)、もしくは前会計年度の全世界年間売上高の4%までのいずれか高い方という莫大な額が制裁金として課せられます。
日本企業のウェブサイトになぜ関係するのか
今回、多くの日本企業に関係しているのは、なんといってもEEA域内に拠点(海外子会社や事務所)がない場合でも適用されるという規定が加わったためです。適用されるかどうかの条件は以下の通りです。
※データ主体…識別された又は識別され得る自然人
「商品やサービスの提供をする場合」とは、「商品やサービスの提供をする意図が明白である場合」と説明されており、たとえばウェブサイトを通してEEA域内の消費者へ商品やサービスなどを提供すると、ウェブサイト上での支払いの有無に関わらず適用対象になると考えられます。したがって、企業サイトとして、ヨーロッパ市場を意識した英語やドイツ語、イタリア語のページがあるならば、対象になると考えた方がよいと思われます。
悩ましいのは日本語のページです。日本語のウェブページしかないとしても、現地の人と結婚した日本人、業務で赴任している人、日本語が堪能なヨーロッパ人といった方々がサイトを閲覧し、問い合わせをする可能性は否定できません。日本語のウェブページは対象外ではないかという気もします。しかし、コラムを執筆している時点では言語を理由にした例外規定のような情報を探すことはできませんでした。東京の駐日欧州連合代表部にも問い合わせてみましたが、個別の回答はできないと返信されてしまいました。(追記:日本語のウェブページは対象外であることを規定する条文があるようです。下記囲み記事参照※3)
※3. あるGDPRのセミナーに参加した際に、日本語サイトが規制対象外だと解釈できる条文があることを講師の方から教えてもらいました。具体的には、GDPRの前文の23項だそうです。
(原文)Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.
(訳文)単に管理者、処理者又はその中間介在者の EU域内のWebサイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうるものである。
上記の原文ならびに訳文は、日本国の国家機関のひとつである個人情報保護委員会のサイトから転載させていただいたものです。(出展:https://www.ppc.go.jp/files/pdf/gdpr-preface-ja.pdf)
赤字でマークした箇所が、該当の条文だそうです。法律の専門家ではない筆者では、訳文ですらなかなか難解なのですが、「ウェブサイトが運営されている国で一般的に使われている言語(日本なら日本語)で記述されている場合には、(EEA域内に対してサービスを提供する)意図を持っているとはいえない。(=すなわちGDPRの対象ではない)」と読み取っています。この解釈で正しければ、日本語サイトでのGDPR対応は不要といえるかもしれません。(2019年12月11日 追記)
GDPRへの対応状況
GDPRの施行にあたり、アメリカの企業などはすでに対応に乗り出しています。
例えばGoogleは、2018年5月25日から発効される新しいプライバシーポリシーを同月11日に公開しています。ポリシーの内容自体に変わりはありませんが、文書の文言とナビゲーションをGDPRに対応した内容に改訂しています。また、Google Analyticsのユーザー情報の保持期間の標準設定を「無制限」から「26か月」に変更したことも話題になっています。
Facebookも2018年4月18日にGDPR対応の一環として、プライバシー保護に関する新たな取り組みを発表しました。政治観や宗教、信仰などプロフィールに関連する情報をユーザーが希望する場合には削除できるようにしたり、顔認証技術の使用許可通知を送付したりするなどの対応をおこなっています。
一方で、日本の状況をみると、東証一部のような大企業でも準備が完了している企業は少なく、日本の弁護士にもGDPRの細かい内容まで理解している人が少ないようです。法律事務所やコンサルティング会社などを中心にセミナーが開催されるなど、GDPRに対する危機感はみられるものの、何をどのように対応すればよいのかがわかりにくく、対応が進んでいないのが現状です。
あやとりとしての対応
このような状況の下、当社としては「現時点ではGDPR対応はしない」という方針を決定しました。
もちろん、当社のウェブサイトはEEA地域からも閲覧可能であり、また、プライバシーポリシーにも記載しているようにCookieの使用やアクセスログの収集をおこなっています。このため、GDPRと完全に無関係とまでは言い切れないかもしれません。
一方で、当社のサイトはすべて日本語で記載しています。営業範囲も東京から大阪を中心に日本国内までを前提としています。また、GDPR対応をするにしても、その対応が適切であるかをチェックしてもらう専門家を見つけることもできていません。
この状況下で、GDPR対応を行うことは、過大かつ困難であると判断し、暫定的ではありますがGDPR対応をしないことを決定し、従前どおり日本国の個人情報保護法に則った運用を続けることにしました。GDPRに対しては、情報収集に注力し、必要に応じて対応していくことになりました。
当社のクライアントに対しても注意喚起はおこないましたが、現時点ではそれ以上の提案をおこなっておりません。オプトインを促すような見た目だけのウェブサイト改修を提案することは可能ですが、それはGDPRが求めている要求事項のごく一部にすぎません。クライアント企業の方針が未定な状態1で中途半端な提案することが誠意ある対応とは思えないためです。
※1 GDPRでは、データ保護責任者(Data Protection Officer:DPO)の任命など、経営トップのコミットメントが要求されています。クライアント企業からウェブサイトの改修依頼を受けた場合、コミットメントの内容を確認し、そのコミットメントに沿った改修計画を策定することになります。(2018年6月4日 追記)
GDPRが切り開く未来
法律の適用には大きく分けると属人主義と属地主義があり、現代の多くの国家は属地主義を原則としながらも属人主義を併用している状態です。 しかしGDPRはそれを飛び越え、効果が及ぶ範囲には全て適用するという独特の性質をもつ法律です。
一方で、個人情報保護のとりくみ方は先進的であり、今後各国へ広がる可能性も否定できません。また属地主義を超えた法律が求められているのもインターネットの普及を考えれば当然と言えるでしょう。
IT技術にも波及する可能性もあります。個人情報保護に関するポリシーや準拠法をHTMLのMETAタグに記載するといったことや、閲覧に先立ちHTTPプロトコルの時点で合意形成をはかるといった規格が登場することも考えられます。
いずれにしても、今後の動きを注視していきたいと思います。