IT導入支援

会員限定

有限責任監査法人トーマツ提供コンテンツ

2016年10月06日

杉本武重弁護士が解説、EU一般データ保護規則の内容とその対応策

2016年4月、欧州議会において欧州連合(European Union: EU)の一般データ保護規則が採択され、2018年5月25日からの適用開始が予定されている。同規則では厳しい制裁金規定が設けられている。すなわち、違反企業には、当該企業グループの前事業年度の年間売上高の4%以下または2000万ユーロ以下のいずれか高い方の金額の制裁金が課せられるなどの可能性がある。したがって、今後、EUと経済取引を行っている日本企業には、今まで以上にEUの個人情報の取扱いにあたって、より厳格な取り組みが求められることになる。同規則の概要と対応策について、EU法に詳しいウィルマーヘイル法律事務所ブリュッセルオフィスの弁護士の杉本武重氏が解説した。

photo

ウィルマーヘイル法律事務所ブリュッセルオフィス
弁護士
杉本 武重 氏

EUにおける個人データ保護法は「人権保護法」

 EUには、1995年に成立したEUデータ保護指令がある。当該指令は、28のEU加盟国に対して、当該指令に則った国内法としてのデータ保護法の立法を義務付けるものである。 1997年以降、EU加盟国では上記指令に基づく国内法としてのデータ保護法が順次立法されてきた。

 これに対して、EUでは、2018年5月25日から、新しいデータ保護法の適用開始が予定されている。EUの単一の個人情報保護法となる一般データ保護規則(General Data Protection Regulation:GDPR)である。

 デロイトトーマツサイバーセキュリティ先端研究所主催の第8回サイバーセキュリティセミナー「EUと日本における新しい個人情報保護制度」で登壇した杉本氏は、「まず理解しておくべきポイントは、新旧いずれの法律にも通底する考え方が『人権保護法』であるということです」と説明する。

「EUには、日本国憲法に相当するEU基本権憲章というものがあり、この中で『すべての者が自己に関係する個人データの保護に対する権利を有する』と定められています。この人権を保護するための法律がEUデータ保護指令に基づいて立法されたEU加盟国のデータ保護法であり、新しいGDPRです。日本では個人情報保護法の話をする時に基本的人権の保護の観点はあまり出てきませんが、EUでは二言目には基本的人権の保護が出てきます。個人データの保護は基本的人権という非常に重要な利益を守るためのものであるため、法律もとにかく厳しく解釈し、適用するというのが、EUの個人データ保護法の特徴です」

 現行のEUデータ保護指令の下では、28か国が別々の個人情報保護法を持っているが、これがGDPRという単一のEU法に置き換わることになる。現行のEU加盟国のデータ保護法は2018年5月24日で廃止となり、翌5月25日からGDPRが適用開始になる。

 またEUデータ保護指令の下では、第29条作業部会という諮問機関がある。第29条作業部会は、各加盟国のデータ保護機関の代表者、欧州委員会司法総局データ保護課の代表者、および欧州データ保護監視官局の代表者によって構成される。第29条作業部会は、EUデータ保護指令の解釈や適用が加盟国によってバラバラにならないように、また、時代の進展によって生起する新たなデータ保護法上の論点に対処するため等の目的で、1997年以降、数々の意見書やレコメンデーションを出しておりEUデータ保護法の実務上、大きな影響力を持ってきた。第29条作業部会はGDPRでは欧州データ保護会議(European Data Protection Board:EDPB)へと改組される。

「あるデータ保護法違反について、複数のデータ保護機関が調査する場合、データ保護機関の間で制裁金決定等について判断が分かれた場合等に、自ら決定することにより統一的な判断を下すという上級委員会としての機能を果たすこともEDPBの役目の一つとなります」

この続きは会員限定です

関連リンク