日本にいる我々にとっては、真っ先に気になるのは「何をしなければならないのか」ということだろう。
答えは簡単であり、複雑だ。一言でいうのであれば、「欧州一般データ保護規則(以下、GDPR)適応の対象かを見極め、適応の対象となる場合は日本の改正個人情報保護法のみならず、必要な形でGDPRに準拠する」となる。
複雑なのは、二つの理由からだ。
一つ目の理由は、GDPRの対象でなければ本当に対応が不要なのか考える必要があることである。
前回の投稿で述べた通り、GDPRはPersonal Data(パーソナル・データ)とPrivacy(プライバシー)について共通言語を世界にもたらした。当然、世界中でGDPRの法的フレームワークが参照され、一部同化していくことが見込まれる。今は適用外であっても、将来的には適用される可能性がある。安易に適用外なので対応しないというのではなく、長期的な視点を含めたうえで判断することをお勧めする。
二つ目の理由は、「GDPRに準拠する」というのは言葉でいうほど簡単なものではないことである。
これについても前回の投稿で少し触れたが、日本にとっては「個人情報保護」というのは、輸入された概念でしかない。議論の徹底度には、差があると言わざるを得ない。それ故に、安易な判断をしないよう注意が必要である。例えば、Personal Data(パーソナル・データ)と「個人情報」とは同一の概念ではなく、日本の枠組みで考えるとPersonal Data(パーソナル・データ)の取り扱いを誤る可能性が高くなる。
GDPRに準拠するには、論理的に定義の意味と概念、そして背景から積み上げて理解する必要がある。表面的な理解でやり過ごしていると、日本人が毛嫌いする「模造品」のように、見た目は似ているけれども中身は「雑」なもので終始してしまう。「模造品」がすぐに壊れるように、安易な対応はやがてほころびを見せることとなるだろう。GDPRに準拠するのであれば、正しく理解したうえで、要点を抑えた対応をすることが大切だ。
このブログの目的は、世界で生じているPersonal Data(パーソナル・データ)保護の動きを日本人が背景も含めて理解し、中長期的に正しく対応できる環境を整えることである。そのマイルストーンのひとつとして、GDPRを欧米の文脈の中で齟齬の少ない理解ができるよう情報提供していく所存だ。お付き合い願えれば幸いだ。
さて、本題に戻るが、「対象」と「必要な対応」についてだ。
「必要な対応」については、さしあたって「必要な形でGDPRに準拠する」を答えとしておく。拙速な対応をしないためにも、実務的な回答については今後少しずつ明らかにしていくこととしよう。
「対象」については、GDPRのArticle 2 (2)の条文を引用しておく。
(※ 条文の翻訳はJIPDEC(一般財団法人日本情報経済社会推進協会)作成の翻訳をベースとしている。)
Article 2 (2):(除外規定)
This Regulation does not apply to the processing of personal data:
(次に掲げるPersonal Data(パーソナル・データ)の取り扱いには適用されない)
(a) in the course of an activity which falls outside the scope of Union law;
(EU法の適用を受けない活動)
(b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
(EU条約、第5編第2章の適用を行う加盟国による活動)
(c) by a natural person in the course of a purely personal or household activity;
(全面的に個人的なまたは家庭内の活動における自然人による活動)
(d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.
(公共の安全への脅威に対する保護及び防止を含む、犯罪の防止、検査、探知、起訴、または刑事罰を科すために所轄官庁が行う活動)
原則はEU加盟国の法律であり、EU圏内での活動を行っているものが対象となる。
他方、「非欧州国であってもこの適用を受けるケースがある」であるというのはArticle 3の規定による。
Article 3 (2):(地理的範囲についての規定)
This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(本規則は、EU域内に拠点のない管理者または取扱者によるEU在住のデータ主体のPersonal Data(パーソナル・データ)の取扱に適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる)
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(EU在住のデータ主体に対する商品またはサービスの提供に関する取扱い。この場合データ主体に支払が要求されるか否かについては問わない)
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
(EU域内で行われるデータ主体の行動の監視に関する取扱い)
管理者、取扱者、データ主体等の専門用語が理解を妨げるが、これらについては今後解説していく。
原則はEU加盟国に適用するが、EU在住の個人についてPersonal Data(パーソナル・データ)を「商品、サービスの提供」という目的のもと扱うことがある場合やEU在住の個人の行動をモニタすることがある場合は、GDPRの対象となるわけである。
この項については次回少し補足し、なぜこのような規定があるのかの背景を理解していこうと考えている。
