前回の投稿ではGDPRのArticle 2とArticle 3をみて、GDPRの対象が誰かについて確認した。

ポイントは以下の2点である。

１．GDPRはEU法の適用を受ける国の法律
２．ただし、EU法の適用を受ける国の居住者のデータであれば、データの所在がEU法の適用を受けない国であっても、EU法に従った扱いが必要

2番目のポイントについては、実務上悩ましい疑問が残る。
年に1週間しか滞在しない人は「居住者」となるのか、国籍が欧州にない場合は「居住者」とみなされるのか、Personal Data(パーソナル・データ)を取扱うサーバーだけがEU域内にある場合はどうなのか、などの疑問については
今後、欧米での議論が収束するのを待つしかないだろう。このサイトでも、GDPRを説明し終わった後、10月ごろにかけて取り上げる予定だ。

ところで、GDPRの適用範囲は法律の本質を教えてくれるようで興味深い。

法律とは、社会を形成する人々が幸福に暮らすために最低限守らなければならない事柄を定めたものだ。
後述するが、EU法ではPrivacy（プライバシー）の保護が基本的人権のひとつとして規定されている。
GDPRの適用範囲は、EU法の適用を受ける国の居住者については、それが域外であっても基本的人権を侵害することを許さない、と読むことができる。

欧州のPrivacy(プライバシー)に関する本気度相がうかがえる。
多くの国が相克した歴史が生み出した価値観ではなかろうか。私は、そういう価値観を作り上げた欧州に敬意を抱く。

Personal Data(パーソナル・データ)の保護の目的は、Privacy(プライバシー)の保護であり、Privacy(プライバシー)の保護の目的は、基本的人権の保護にある。
規則、法律といった視点ではなく、文化圏としての「幸福追求」のあり方の表明という視点から見れば自ずと尊重する気持ちも湧く。

次回からは、欧州のPrivacy(プライバシー)やデータ保護を背景から理解する。
世界が、欧州がどういう足取りで現在の価値観に至ったのか、その過程を追うこととしよう。

日本にいる我々にとっては、真っ先に気になるのは「何をしなければならないのか」ということだろう。

答えは簡単であり、複雑だ。一言でいうのであれば、「欧州一般データ保護規則（以下、GDPR）適応の対象かを見極め、適応の対象となる場合は日本の改正個人情報保護法のみならず、必要な形でGDPRに準拠する」となる。

複雑なのは、二つの理由からだ。

一つ目の理由は、GDPRの対象でなければ本当に対応が不要なのか考える必要があることである。
前回の投稿で述べた通り、GDPRはPersonal Data(パーソナル・データ)とPrivacy（プライバシー）について共通言語を世界にもたらした。当然、世界中でGDPRの法的フレームワークが参照され、一部同化していくことが見込まれる。今は適用外であっても、将来的には適用される可能性がある。安易に適用外なので対応しないというのではなく、長期的な視点を含めたうえで判断することをお勧めする。

二つ目の理由は、「GDPRに準拠する」というのは言葉でいうほど簡単なものではないことである。
これについても前回の投稿で少し触れたが、日本にとっては「個人情報保護」というのは、輸入された概念でしかない。議論の徹底度には、差があると言わざるを得ない。それ故に、安易な判断をしないよう注意が必要である。例えば、Personal Data（パーソナル・データ）と「個人情報」とは同一の概念ではなく、日本の枠組みで考えるとPersonal Data(パーソナル・データ)の取り扱いを誤る可能性が高くなる。

GDPRに準拠するには、論理的に定義の意味と概念、そして背景から積み上げて理解する必要がある。表面的な理解でやり過ごしていると、日本人が毛嫌いする「模造品」のように、見た目は似ているけれども中身は「雑」なもので終始してしまう。「模造品」がすぐに壊れるように、安易な対応はやがてほころびを見せることとなるだろう。GDPRに準拠するのであれば、正しく理解したうえで、要点を抑えた対応をすることが大切だ。

このブログの目的は、世界で生じているPersonal Data(パーソナル・データ)保護の動きを日本人が背景も含めて理解し、中長期的に正しく対応できる環境を整えることである。そのマイルストーンのひとつとして、GDPRを欧米の文脈の中で齟齬の少ない理解ができるよう情報提供していく所存だ。お付き合い願えれば幸いだ。

さて、本題に戻るが、「対象」と「必要な対応」についてだ。
「必要な対応」については、さしあたって「必要な形でGDPRに準拠する」を答えとしておく。拙速な対応をしないためにも、実務的な回答については今後少しずつ明らかにしていくこととしよう。

「対象」については、GDPRのArticle 2 (2)の条文を引用しておく。
（※　条文の翻訳はJIPDEC（一般財団法人日本情報経済社会推進協会）作成の翻訳をベースとしている。）
Article 2 (2):（除外規定）
This Regulation does not apply to the processing of personal data:
（次に掲げるPersonal Data（パーソナル・データ）の取り扱いには適用されない）

(a) in the course of an activity which falls outside the scope of Union law;
（EU法の適用を受けない活動）

(b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
（EU条約、第5編第2章の適用を行う加盟国による活動）

(c) by a natural person in the course of a purely personal or household activity;
（全面的に個人的なまたは家庭内の活動における自然人による活動）

(d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.
（公共の安全への脅威に対する保護及び防止を含む、犯罪の防止、検査、探知、起訴、または刑事罰を科すために所轄官庁が行う活動）

原則はEU加盟国の法律であり、EU圏内での活動を行っているものが対象となる。
他方、「非欧州国であってもこの適用を受けるケースがある」であるというのはArticle 3の規定による。

Article 3 (2):（地理的範囲についての規定）
This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
（本規則は、EU域内に拠点のない管理者または取扱者によるEU在住のデータ主体のPersonal Data（パーソナル・データ）の取扱に適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる）

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
（EU在住のデータ主体に対する商品またはサービスの提供に関する取扱い。この場合データ主体に支払が要求されるか否かについては問わない）

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
（EU域内で行われるデータ主体の行動の監視に関する取扱い）

管理者、取扱者、データ主体等の専門用語が理解を妨げるが、これらについては今後解説していく。
原則はEU加盟国に適用するが、EU在住の個人についてPersonal Data（パーソナル・データ）を「商品、サービスの提供」という目的のもと扱うことがある場合やEU在住の個人の行動をモニタすることがある場合は、GDPRの対象となるわけである。

この項については次回少し補足し、なぜこのような規定があるのかの背景を理解していこうと考えている。

近年、個人情報への社会の関心が急速に高まっている。
一方で、個人情報と聞いても、なんとなく気持ち悪いけれども具体的にどういう問題が生じるのかは知らない、わからない、というのが一般的な肌感覚ではないだろうか。

おそらくこれは、日本人という国民性が影響していると私は考えている。「集団」を重んじる私たち日本人にとって、「個人」の権利といわれても「なにをおいても尊重すべきもの」という感覚はそれほど強くない。

良いとか悪いという問題ではないのだが、たとえば、日常的に数十時間から、場合によっては100時間を超す（断ることが難しい）残業を「人権侵害」と訴えることに違和感を覚える日本人は多いだろう。
この感覚がある限り、現在世界で話題になっているPrivacy（プライバシー）について、正確に理解することは難しいと言わざるを得ない。

日本にとって、「個人情報保護」というのは、輸入された概念でしかない。そのため、欧州の人々が感じているような切迫感を日本人が感じるのは難しいだろう。

Personal Data（パーソナル・データ）保護で世界をけん引している欧州では、Privacy（プライバシー）の議論に切迫感がある。原動力となっているのは、「個人の権利」を護るという前提だ。欧州の様々な法制度や議論は、権力者が行った第二次大戦中に行われた「個人」からの搾取に対するアレルギー反応の産物といってもよい。それだけに、欧州におけるPersonal Data(パーソナル・データ)の議論は、生きた議論であり真剣なものだ。学ぶところも多い。

このブログでは、今話題の欧州一般データ保護規則（GDPR）の解説を軸にしながら、世界のPersonal Dataにまつわる動向と法制度、対応の温度差について解説する。最終的には「個人情報」の議論の本質と、対策のあるべき姿についても話をしたいと考えている。

読者としては、弁護士をはじめとするPrivacy（プライバシー）の専門家、企業の法務部門、企業の経営者層を想定している。できるだけわかりやすく説明していくが不明な点、質問があればいつでも問い合わせて欲しい。問い合わせはe-mailでも、コメント欄への投稿でも構わない。読者からのフィードバック、質問がこの問題を掘り下げる一助となる。どんな小さな事でも気軽に尋ねていただきたい。

ちなみに、この分野の話題であれば欧州に限らず、アメリカ、アジア各国の情報についても情報提供が可能だ。私はライフワークとして国内企業の海外法令・規格対応支援に取り組んでいる。海外にも専門家のネットワークがあるため、必要があれば直接問い合わせをして確認することも可能だ。お力になれることがあれば幸いである。

前置きが長くなったが、欧州一般データ保護規則（以下GDPR）について書いていこう。
GDPRとは、General Data Protection Regulationの頭文字をとったもので、定訳はないが、ここでは「欧州一般データ保護規則」と訳しておく。
GDPRは欧州経済領域(European Economic Area: EEA)に居住する個人のPersonal Dataを保護することを目的とした規則であり、2006年に採択されたされたDirective 95/46（一般に「欧州データ保護指令」と呼ばれる）に置き換わるものである。

欧州の法律だが、今、世界中で議論されている。
日本でも法律事務所や会計事務所がセミナーを開いたりしているので、お聞き及びの方もいるだろう。

最初に浮かぶ疑問は、欧州の規則がなぜ欧州以外の国々に関係するのか、ということだろう。たとえば日本をとれば、外国の法律はあくまでも外国の法律であり、日本に住む我々には影響を与えないはずである。

GDPRについて注意しなければならないのは、欧州の規則でありながら、非欧州国であってもこの適用を受けるケースがあるためである。

さらに、違反を摘発された場合、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されると定められている（規則83条5項）。

欧州の法律でありながら、世界中が着目しているのは、まさにこの違反条項があるためだ。

課徴金については独占禁止法（正確には「欧州連合競争法」）の考え方を参照して制定されている。
独占禁止法が欧州で施行されたときに、インテルが10億6000万ユーロ（14億5000万ドル）制裁金を課せられた(2009年告発、2014年インテルの訴えを棄却)ことを考えると、ただの脅しではなく実効性のあるものであると理解すべきである。

これはあるアメリカのプライバシー専門家の言葉だが、「欧州が勝手に決めたことを我々に押し付けて変革を迫るというのはナンセンスで迷惑な話でしかない」、というのが本音だろう。しかし、GDPRの施行は2018年5月25日だ。GDPRの適用を受ける可能性がある事業体は、速やかな対応が必要である。

（誰が対象となるのか、そしてどういう対応が必要なのかについては次回紹介する。）

GDPRに歓迎すべき要素があるとすると、歴史上はじめてPrivacyやPersonal Dataに関して世界が「共通言語」を持つようになった点である。欧州と米国は法整備の方針が異なっている。日本を含むアジア、オセアニア地域の法制度は混とんとしている。そういった状況の中、世界中の専門家がGDPRについて研究を始め、対策をとりつつある。議論が深まれば、GDPRの修正について議論が生まれる局面もでてくるに違いない。

GDPRは、同一の土台に立って対話を行う基盤を整備した。対話が始まるというのは大きな前進だ。歓迎すべき動きである。

私個人としては、Personal Data（パーソナル・データ）の尊重は煩雑であっても丁寧に議論し扱うべき内容と考えている。真に人を尊重する世界を形成する上で、避けてはならない議論が、Personal Data（パーソナル・データ）やPrivacy（プライバシー）の概念だ。人は自由に生きてもよい。独自の生き方を選択できる自由こそが、個人の幸福を促進する。Personal Data（パーソナル・データ）やPrivacy（プライバシー）について正しく理解し、対応することは、社会に幸福な人が増えるための基盤といってもよい。

少しでも多くの日本人が、この概念になじみ、より幸福な社会を形成する原動力となってくれることを願ってやまない。