2016年4月14日,インターネットの発達による個人情報収集の機会・手段の多様化に対応すること等を目的に,General Data Protection Regulation(一般データ保護規則)が制定されました(発効は2018年5月25日)。一般データ保護規則の制定は,現行のData Protection Directive(EUデータ保護指令)と異なりEU域内に直接適用されEU域内のデータ保護ルールを一元化する,違反企業に対する制裁金が多額であるなどのインパクトを与えるものですが,それだけでなく,EU域内の企業だけでなく,EU域外に拠点を持つ企業に対しても, EU域内の個人へ商品・サービスの提供を行う場合等には,一般データ保護規則が適用されるため,注目がされています(Art-3)。
一般データ保護規則下では,現行のEUデータ保護指令同様,European Commission(欧州委員会)が,個人情報について十分なレベルの保護を与えていると認定している第三国以外への転送は出来ないこととなっています。
しかし,①本人が明確な同意を与えた場合には,移転が可能です。また,②EU域外に個人情報を転送したい当事者間でStandard Data Protection Clauses(欧州委員会又は管轄当局により採択された標準データ保護条項)が含まれる契約を締結した場合にも移転が可能です。さらに,③多国籍企業内でのデータの転送に関しては,Binding Corporate Rule(拘束的企業準則)を採用すれば,EU域内から域外への転送が可能です。
このように,EU域外への個人情報の転送は厳しく制約されています。さらに,要件を満たすことなく個人情報を欧州域外に移転した場合に科されるペナルティーは,その上限額が最大で2000万ユーロ又は年間世界売上の4%のいずれか高額のものとされており,違反した場合のリスクは小さくありません。
このように,EUにおける個人情報保護の規制は,2018年以降,一層厳しいものになります。今後は,日本が欧州委員会の十分性認定(※)を受けられるか(日本では,海外におけるプライバシー保護の動向を受け,2015年9月9日に個人情報保護法が改正されています。)に引き続き注目するとともに,専門家の相談を仰ぎつつ,2018年の一般データ保護規則の発効に備えた準備をしておくことが,EU法務における必須事項となるので,対処が必要です。
※十分性認定とは
→ヨーロッパ連合(EU)加盟国から第三国に個人データを持ち出す場合、越境先の国・地域で個人データの十分な保護措置が確保されているかどうかを、ヨーロッパ委員会が審査し、認定すること。
<プロフィール>
弁護士法人堂島法律事務所(東京事務所) 弁護士 瀧澤 渚氏
慶應義塾大学大学院法務研究科修了。2014年弁護士登録。外資法律事務所勤務の後、2016年より堂島法律事務所所属。企業法務・労務を中心に、英米法等の海外法務にも精通。