概要
GDPR(General Data Protection Regulation:EU一般データ保護規則)とは、欧州連合(EU)が2018年5月25日に施行した、個人データの保護に関する包括的な規則です。EU域内に所在する個人の個人データの処理と移転について厳格なルールを定めており、EU域外の企業であっても、EU居住者の個人データを取り扱う場合にはGDPRの適用を受けます。違反した場合には、最大で年間売上高の4%または2,000万ユーロのいずれか高い方の制裁金が科されます。
GDPRは、個人データの処理における6つの法的根拠(同意、契約の履行、法的義務、重大な利益の保護、公共の利益、正当な利益)を定め、データ主体(個人)に対してアクセス権、訂正権、削除権(忘れられる権利)、データポータビリティ権、処理制限権、異議申立権など広範な権利を付与しています。企業はこれらの権利を保障するための技術的・組織的措置を講じなければなりません。
GDPRの施行は世界各国のデータ保護法制に大きな影響を与え、日本の改正個人情報保護法、ブラジルのLGPD、米国カリフォルニア州のCCPAなど、多くの法域でGDPRを参考にした法整備が進んでいます。企業がグローバルにビジネスを展開する上で、GDPRへの対応は不可欠な経営課題となっています。
詳細解説
DPIA(データ保護影響評価)
DPIA(Data Protection Impact Assessment:データ保護影響評価)とは、個人データの処理が個人の権利と自由に対して高いリスクをもたらす可能性がある場合に、事前に実施することが義務付けられるリスク評価プロセスです。大規模なプロファイリング、センシティブデータの大量処理、公共エリアの大規模監視などが対象となります。
DPIAでは、処理の目的と必要性、データ主体に対するリスクの評価、リスクを軽減するための措置を体系的に文書化する必要があります。DPIAの結果、高いリスクが残存する場合には、処理を開始する前に監督当局への事前相談が求められます。
DPO(データ保護責任者)
DPO(Data Protection Officer:データ保護責任者)は、組織内におけるデータ保護コンプライアンスの監督責任者です。公的機関、大規模な個人データの定期的・体系的な監視を行う組織、またはセンシティブデータを大規模に処理する組織はDPOの選任が義務付けられています。
DPOは組織から独立した立場で職務を遂行し、経営層に直接報告する権限を持ちます。その役割には、GDPR遵守状況の監視、従業員への教育・啓発、DPIAの助言、監督当局との連絡窓口としての機能が含まれます。DPOは他の職務と兼務可能ですが、利益相反が生じてはなりません。
忘れられる権利(削除権)
忘れられる権利(Right to Erasure / Right to be Forgotten)は、GDPR第17条に規定されたデータ主体の権利です。個人が自己に関する個人データの削除を管理者に要求でき、処理の目的が達成された場合、同意が撤回された場合、違法処理が行われた場合などに適用されます。
ただし、この権利は絶対的なものではなく、表現の自由、法的義務の履行、公衆衛生上の利益、公共の利益のためのアーカイブ、法的請求の行使・防御などの理由で制限される場合があります。管理者は削除要求を受けた場合、不当な遅延なく(原則として1か月以内に)対応する義務があります。
十分性認定
十分性認定(Adequacy Decision)とは、欧州委員会が第三国または国際機関のデータ保護水準がEU域内と同等であると認定する制度です。十分性認定を受けた国や地域へは、特別な保護措置なしにEU域内から個人データを移転することが可能になります。
日本は2019年1月に十分性認定を受け、EU・日本間で相互にデータの自由な流通が実現しました。この認定は定期的に見直され、認定を維持するためには継続的なデータ保護水準の確保が必要です。十分性認定を受けていない国への移転には、標準契約条項(SCC)や拘束的企業準則(BCR)等の適切な保護措置が求められます。
執行と制裁金
GDPRの執行は各EU加盟国のデータ保護監督当局(DPA)が担います。制裁金は2段階に分かれており、軽微な違反には年間売上高の2%または1,000万ユーロの制裁金が、データ主体の権利侵害や国際移転の違反などの重大な違反には年間売上高の4%または2,000万ユーロの制裁金が科されます。
実際の執行事例では、2023年にMetaがEU-US間のデータ移転に関して12億ユーロの制裁金を受け、2019年にはGoogleがフランスのCNILから5,000万ユーロの制裁金を科されています。制裁金の算定には、違反の性質・重大性・期間、影響を受けたデータ主体の数、管理者の対応姿勢などが考慮されます。
セキュリティ対策
- 01データマッピングと処理記録の整備:組織が保有するすべての個人データについて、収集目的、処理内容、保管場所、共有先、保持期間を体系的に記録してください。GDPR第30条が義務付ける処理活動の記録(ROPA)を作成し、データフローを可視化することで、コンプライアンスの基盤を構築しましょう。
- 02プライバシー・バイ・デザインの実践:システム設計の初期段階からデータ保護を組み込む「プライバシー・バイ・デザイン」と「プライバシー・バイ・デフォルト」の原則を実践してください。データの最小化、仮名化・暗号化の標準適用、アクセス制御の実装を設計段階で行い、事後的な対応コストを削減しましょう。
- 03データ主体の権利行使対応体制の構築:アクセス権、訂正権、削除権(忘れられる権利)、データポータビリティ権などの権利行使要求に対し、原則1か月以内に対応できる体制を整備してください。権利行使要求の受付窓口、本人確認手順、対応フローを文書化し、定期的に訓練を実施しましょう。
- 04データ侵害通知プロセスの確立:個人データの侵害が発生した場合、72時間以内に監督当局に通知し、個人の権利と自由に高いリスクをもたらす場合はデータ主体にも通知する義務があります。侵害検知から通知までの手順書を作成し、インシデント対応チームを編成して定期的な訓練を行いましょう。
- 05国際データ移転の適法性確保:EU域外への個人データの移転には、十分性認定、標準契約条項(SCC)、拘束的企業準則(BCR)、または明示的同意等の適切な法的根拠が必要です。特にSchrems II判決以降は、移転先国の法制度に関する移転影響評価(TIA)の実施も求められています。
- 06DPIAの定期的な実施と見直し:新規プロジェクトや既存システムの大幅な変更時には、データ保護影響評価(DPIA)を実施してリスクを特定・軽減してください。特にAI・機械学習、プロファイリング、大規模なデータ処理を伴うプロジェクトでは、DPIAの実施が不可欠です。評価結果は文書化し、定期的に見直しを行いましょう。
事故事例
📋 Meta社に対する12億ユーロの制裁金(2023年)
2023年5月、アイルランドのデータ保護委員会(DPC)はMeta Platforms Irelandに対し、EU-US間の個人データ移転に関するGDPR違反で12億ユーロの制裁金を科しました。これはGDPR施行以来最高額の制裁金です。
この事案は、EU域内のFacebookユーザーの個人データが適切な保護措置なしに米国に移転されていたことが問題とされました。Schrems II判決によりEU-USプライバシーシールドが無効化された後も、Metaが標準契約条項(SCC)のみに依拠してデータ移転を継続していたことが違反と認定されました。
📋 British Airwaysの顧客データ流出事件(2018年)
2018年、British Airwaysのウェブサイトとモバイルアプリがサイバー攻撃を受け、約50万人の顧客の氏名、住所、クレジットカード情報を含む個人データが流出しました。攻撃者はウェブサイトにスキミングコードを埋め込み、約2週間にわたって顧客の入力情報を窃取していました。
英国の情報コミッショナー事務局(ICO)は、British Airwaysのセキュリティ対策が不十分であったとして、当初1億8,339万ポンドの制裁金を提示しましたが、COVID-19の影響を考慮して最終的に2,000万ポンドに減額されました。この事件は、技術的セキュリティ措置の重要性を示す代表的な事例です。
📋 H&Mの従業員監視によるGDPR違反(2020年)
2020年10月、ドイツのハンブルクデータ保護監督当局は、H&Mのニュルンベルク・サービスセンターに対し、従業員の私生活に関する過度な情報収集を理由にGDPR違反で3,525万ユーロの制裁金を科しました。
H&Mの管理職は、2014年以降、従業員との面談を通じて休暇の過ごし方、家族の健康状態、宗教的信条などの詳細な個人情報を収集・記録し、人事評価に利用していたことが内部告発により発覚しました。この事件は、従業員データの処理においてもGDPRのデータ最小化原則と目的制限原則が厳格に適用されることを示しました。