EU加盟各国で整備が進む個人データ保護法 ‐GDPR施行開始に向けて‐

2018年2月20日

欧州連合(EU)では、個人情報(データ)の保護という基本的人権の確保を目的とした「一般データ保護規則」(GDPR)の適用が2018年5月25日に開始される。加盟各国において、既存の個人データ保護法に代わり、EU規制であるGDPRが適用されることになるが、GDPRでは各国法で規定しなければならない項目や、規定できる項目があるため、国内法の整備も進められている。その進捗(しんちょく)状況は国によって異なり、ドイツやオーストリアでは2017年7月に国内法を官報公示した一方、英国、フランス、スペインなどでは国会審議中、いまだ草案作成中の国もある。各国法で定める項目の中には、データ保護責任者(DPO)の設置要件など、欧州に拠点を構えビジネスを行う日本企業に関係するものも含まれる。

国内法の整備状況は国によってさまざま

EUでは、インターネット普及前の1995年に制定されたEU指令に基づくEU加盟国の個人情報保護関連法に代わり、デジタル化社会に適合した個人データ保護規定である一般データ保護規則(GDPR)が2016年5月24日に発効、約2年間の移行期間を経て2018年5月25日に適用開始となる。GDPRはEU加盟国に直接適用される「EU規則」であるが、EU加盟28カ国にノルウェー、アイスランド、リヒテンシュタインを加えた欧州経済領域(EEA)関連文書として採択されたため、EEA協定書に盛り込まれた上でこれら3カ国にも適用される見込みだ。個人データのEEA内からEEA外への移転を原則禁止し、違反行為に対して高額の制裁金が科される可能性があるGDPRは、EEAに進出している日系企業のみならず、現地に拠点がなくてもインターネットなどを通じて欧州市場向けに商品やサービスを提供し、その際にEEA内の個人データを取得・処理している日本企業も対応が必要である。

GDPRは、一定の事項について、EU加盟国が各国法により独自に定めることを認めている。各国が規定することができる項目としては、処理の適法性(第6条)、情報社会サービスに関する子供の同意に対して適用される条件(第8条)、特別カテゴリーの個人データの処理(第9条)、削除権(忘れられる権利)(第17条)、データ保護影響評価(DPIA)(第35条)、データ保護責任者の選任・地位(第37・38条)、雇用に関する処理(第88条)、守秘義務(第90条)をはじめとする項目が挙げられる。また、罰則(第84条)については、第83条に規定される2種類の制裁金(「最大2,000万ユーロ、または前会計年度の全世界売上高の4%までのいずれか高い方」「最大1,000万ユーロ、または全世界売上高の2%までのいずれか高い方」)が課されない違反行為に関する規定を定めなくてはならない、とする(ジェトロセンサー10月号特別リポート「加盟国法を踏まえたデータ保護コンプライアンスを」PDFファイル(310KB) 参照)。EU加盟各国では、新法の制定や現行法を改正することにより、GDPRへの対応を進めている。2017年12月末時点での主要国の国内法整備状況は、表の通り。ドイツおよびオーストリアでは、2017年7月にそれぞれ「新ドイツ連邦データ保護法」と「データ保護改正法2018」が官報に公示された。英国、フランス、スペイン、オランダでは国会審議中、その他の国では改正法案や新法の草案を作成段階にある。

表:主要EU加盟国(注1)における「一般データ保護規則」(GDPR)に対する国内法整備状況(2017年12月末時点)
国名 2017年12月末時点の状況 国内法整備状況
ドイツ 成立済 官報にて「新ドイツ連邦データ保護法(データ保護法のEU規則2016/679およびEU指令2016/680への適合法)」公示(2017年7月5日)
オーストリア 成立済 官報にて「データ保護改正法2018」公示(2017年7月31日)
英国 国会審議中 「データ保護法案2017」を国会審議中(法案提出2017年9月14日)
フランス 国会審議中 「個人情報保護に関する法案」を国会審議中(法案提出2017年12月13日)
オランダ 国会審議中 「一般データ保護規則施行法案」を国会審議中(法案提出2017年12月13日)
スペイン 国会審議中 「改正・個人情報保護基本法案」を閣議承認(2017年11月)、下院の司法委員会にて改正法案検討
イタリア 国会審議前 GDPRと現行法との調整等を指示する法律成立(2017年10月17日)
ベルギー 国会審議前 連邦議会による法案作成中
ポーランド 国会審議前 改正法案のパブリックコンサルテーションを実施、遅くとも2018年4月までに法案を国会提出予定
チェコ 国会審議前 法案「個人データ処理に関する法律」のパブリックコンサルテーション終了(2017年9月15日)
ハンガリー 国会審議前 現行法「情報自己決定権および情報の自由に関する2011年法の112号」の改正法案を2018年3月までに国会提出予定
ルーマニア 国会審議前 現行法「2001年法律第677号」(個人情報保護関連法)等の改廃を管轄省が提案(2017年10月20日)
注1:
ジェトロ事務所所在国のみ
注2:
法律名は仮訳
出所:
各国ジェトロ事務所調べ

各国法での規定内容にも要注意

EU加盟各国が規定することができる項目の中には、欧州ビジネスを行う日本企業に影響を及ぼすものもあるため、実際のGDPR対応においては、ビジネスを展開するEU加盟国の個人データ保護関連法の確認も必要となってくる。特に、データ保護影響評価(DPIA)、データ保護責任者(DPO)の選任義務、従業員の個人データ処理に関する規定などは、直接関係する重要な項目と言える。以下に、ドイツ、英国、フランス、スペイン、チェコでの規定内容の一例を紹介する。ドイツ以外は、国会審議中の法案や審議前の草案を参照しているため、今後の審議過程で修正される可能性があることに留意されたい。

GDPR第8条(情報社会サービスに関する子供の同意に対して適用される条件)第1項では、子どもに対する情報社会サービスの直接的な提供に関するデータ主体の同意について、子どもが16歳未満の場合はその保護責任を負う者による同意が必要と規定。これについて加盟国は13歳を下限としてより低い年齢を設定できる。英国では「防止またはカウンセリングのサービス」を例外として13歳、スペインおよびチェコでも13歳とした一方、ドイツおよびフランス法ではGDPRの16歳をそのまま適用している。

GDPR第9条(特別カテゴリーの個人データ処理)第1、2、4項では、政治的思想、宗教的信条、遺伝データ、健康データなどの特別カテゴリーのデータについて、データ主体が特別の目的のための処理に対して明示的な同意を与えた場合は適法となる。ただし、加盟国はデータ主体の同意により処理が適法化されるべきではない場合や、適法化する際のさらなる条件などを設定できる。英国では、国家安全保障や防衛目的の場合、データ主体の権利と自由に対する適切な保護措置を講じた場合は、特別カテゴリーの個人データの取り扱い禁止を適用しない。これに加えて、ドイツやスペインでは、従業員の業務能力の評価、公衆衛生の保護や医薬品または医療機器の質・安全性の高水準の保証のために必要な場合などに公的機関および非公的機関による特別カテゴリーの個人データ処理を適法としている。ただし、追加要件を別途法律などで定め、安全性や機密性を保護する対策をとることが条件となる。

GDPR第35条(データ保護影響評価(DPIA))第4項および第5項では、各国の監督機関が、特に新しい技術を用いたデータ処理などの実施前に、個人の権利や自由に対しての影響を評価するDPIAが必要となる処理行為の一覧を作成・公開しなくてはならない、またDPIAが求められない処理行為の一覧を作成・公開することができる、と規定する。また、第10項では法的義務の順守または公共の利益などのために必要な場合はDPIAが要求されない例外事由リストを規定できる、とする。フランスではDPIAが不要となるデータ処理法に関する一覧は作成しない方針とされる。また、スペインでは個人情報保護庁(AEPD)がDPIAのプラクティス普及を目的に2014年に発表した資料の中で、DPIAが望ましいデータ処理法として、大規模監視カメラ網や生体認証、地理的位置情報を使用する場合やビッグデータやスマートシティによる場合などを挙げており、今後DPIAが必要となる処理行為とされるかどうか注目される。

GDPR第37条(データ保護責任者(DPO))第1項では、公的機関や団体がデータ処理を行う場合、データ管理者・処理者が特別カテゴリーのデータなどを大規模に処理する場合などに、データ管理者または処理者にデータ保護責任者(DPO)の選任義務があると規定する。さらに、第4項では、第1項以外の場合でも加盟国法で要求されればDPO任命が必要となるとする。ドイツでは、個人データの自動的処理に関して少なくとも10名の従業員を雇用する企業に加え、企業の従業員人数に関係なく、データ処理がDPIAの対象となる場合やマーケティングや世論調査のために個人データを移転する場合には、DPO選任を義務づけた。また、スペインでは教育機関、電気通信業、大規模プロファイリングを行うIT企業、金融・保険・証券、電力・ガス卸・小売業、医療機関、民間警備業などにDPO選任義務を負わせている。一方、フランスでは、独自の規定を設けていない。

GDPR第88条(雇用に関する処理)第1項では、加盟国は、職場における被雇用者の個人データ(いわゆる、従業員データ)または人事データ処理に関して権利と自由の保護を確保するため、具体的な規定を定めることができるとしている。ドイツでは、従来の個人データ保護法の規定の多くが踏襲され、従業員の個人データは、雇用関係の開始や終了などの根拠として、違反行為の摘発のために必要な場合などは処理が認められる。なお、今回の改正により、保護の対象に派遣労働者が含まれることが明記された。

GDPR制度対応の最大のハードルは導入コストの見通しが立たないこと

ドイツでは、新法が2017年7月5日付けの官報に公示され、欧州主要国の中でいち早くGDPRに対応する法整備を終えた。ドイツ政府は官報公示の当日、「今回の新法の制定はGDPRというEU共通の個人データ保護ルールに合わせたもので、デジタル分野においてもEU単一市場を実現するための大きな一歩である」「他のEU加盟国に先駆けて法整備を行うことで、ドイツ国内の関係者が2018年5月のGDPR適用開始までに新ルールに対応する十分な準備時間を確保した」とのコメントを発表した。

ドイツIT・通信・ニューメディア産業連合会(BITKOM)が従業員20名以上のドイツ企業500社に対して実施したアンケート調査によると、2017年11月時点で「GDPR対応のために外部専門家に業務を委託した」企業は約半分(48%)だが、「(自己判断を含み)GDPRへの対応を終えた企業」との回答は全体の8分の1であったという。「GDPR対応を進めるために新たな人材を雇用した」企業は全体の5%、「従業員を配置転換し担当者に任命した」との回答は20%であった。また、BITKOMの9月の調査では、GDPR対応のハードルとして回答企業の52%が「導入コストが読めないこと」を挙げ、「法的不確実性」(43%)、「対応支援の不足」(32%)が続いたほか、「(理解が難しい)規則の解説」(28%)や「実践手引き」(27%)を希望する声が聞かれた。そこで、BITKOMはGDPRの概要を解説するためのQ&A、「第三国へのデータ移転」や「データ保護影響評価」をはじめとする4種類のガイドラインをドイツ語および英語で作成し、ウェブサイト外部サイトへ、新しいウィンドウで開きますに掲載している。


変更履歴
文章中(第8段落)に誤りがありましたので、次の一文を削除しました。(2018年3月6日)
「英国では、裁判所や司法機関を除く全てのデータ管理者にDPO選任が義務付けられている。」
表に誤りがありましたので、次のように訂正・追加いたしました。(2018年3月6日)

スペイン「2017年12月末時点の状況」の項目
(誤)国会審議前
(正)国会審議中

スペイン「国内法整備状況」の項目
(追加)下院の司法委員会にて改正法案検討

執筆者紹介
ジェトロ海外調査部欧州ロシアCIS課 課長代理
鷲澤 純(わしざわ じゅん)
1998年、ジェトロ入構。ジェトロ大分(2000~2004年)、市場開拓部(2004~2006年)、ジェトロ・ウィーン事務所(2010~2015年)などを経て現職。

ご質問・お問い合わせ