EU一般データ保護規則(GDPR)始動は待ったなし! 対応準備は優先順位を付けて着手せよ【インタビュー】
※ この記事は 2017年11月21日に DX LEADERS に掲載されたものです。
2018年5月25日より、欧州連合(EU)における新しい個人データ保護法「GDPR(General Data Protection Regulation:EU 一般データ保護規則)」が適用開始となった。
GDPRは、EEA(European Economic Area:欧州経済領域)所在者の個人データを「処理」して、EEA域内の各国(EU加盟国28カ国およびアイスランド・リヒテンシュタイン・ノルウェー)から第三国に「移転」するために満たすべき法的要件を規定したもので、EEA全体における個人データ保護に関する取り組みをより強化することを目的としたものだ。
しかしGDPRの適用範囲はあまりに広く、その全てに完璧に対応することは現実的に困難だ。膨大なコストとマンパワー、時間が必要で、ともすれば全社を巻き込むプロジェクトになってしまい、会社の業務そのものが停止しかねない。
では日本企業は、どのようにGDPR対応を進めていけばいいのだろうか。EUのデータ保護法に豊富な知見を持つギブソン・ダン・クラッチャー法律事務所 ブリュッセルオフィスのオブ・カウンセルである杉本武重弁護士に、お話をうかがった。
企業にとってGDPR対応の問題は“予算取り”に加えて“何から手を付けるか”
まず、GDPRの大きな特徴として挙げられるのが、個人の「個人データ保護に対する権利」を“基本的人権の1つ”と位置付けていることだ。そのため、法律も厳しく解釈および適用されることになる。
また、企業の規模やEEA域内の事業所の有無を問わず、EEA所在者に結び付くデータの収集・分析を行うあらゆる企業が対象となる。つまり大企業だけでなく、日本の中小企業も十分にGDPRの適用対象になるということだ。GDPRの適用開始まで残り約半年、今の日本企業の状況について、杉本氏は次のように説明する。
「日本企業にもGDPRの存在に関する認知は広がり、その重大性、対応の必要性については、一通りの理解が進んだのではないかと思います。しかしGDPRへの対応を進めるに当たって企業が最初に直面する問題が、GDPRはいわゆる個人データ保護法であり、EEA内で事業を行う日本企業の多くの部門がGDPRの適用対象となる個人データの処理を行っているため、“その対応にはコストがかかる”という点です」(杉本氏)
GDPR対応を進めるためには、まず主管部署を決める必要がある。例えば法務部門やIT部門などが挙げられるが、対応プロジェクトを進めるにあたっては、実際に個人データを処理する各業務部門の協力が必要だ。その場合、対応プロジェクトは、必然的に全社プロジェクトとなる。そうなれば予算取りは、役員クラスの決裁が必要な案件となる。するとどうなるか。
「いくら担当者が、GDPR対応の重大性や必要性を理解していても、役員の方をすぐに説得できるとは限りません。投資対効果はどうなのか、そもそも対応する必要があるのかとさえ言われる可能性もあります。GDPR対応に必要な予算をいかに確保するか。これがまず担当者の頭痛の種なのです」(杉本氏)
では予算の確約が取れたとして、次に担当者の頭を悩ませるのが“GDPRの適用範囲の広さ”だという。
「あまりに適用範囲が広すぎること、また対応に当たっての義務が多すぎることで、担当者は“何から手を付けていいか分からない”という事態に陥ってしまうことがよくあります。また、仮にどこから着手するかを決めたとしても、事業部に個人データの棚卸し作業を頼んだら、とてもそんな余裕はないとはねつけられてしまう場合もあります。事業部の負担にならないような進め方も考える必要があるのです」(杉本氏)
予算取りの難しさ、適用範囲の広さ、さらには業務部門への協力要請の難しさが原因となって、GDPRの対応を始めてもなかなか前に進まない、もしくは想定以上に時間が取られてしまうというのが、多くの日本企業の現状のようだ。
“完璧に対応しなければならないと思わないこと”が重要
GDPR対応の第一歩は、自社がEEA所在者の個人データを処理しているかどうかを明らかにすることだ。そこで行うべき作業がデータマッピングである。グローバル拠点を含めた自社グループ内に、EEA所在者の個人データがあるかどうか、またその種類はどんなものなのかを明らかにした上で、何がGDPRの対象に該当するのかを見極めるのだ。
「その際に対応プロジェクトを主導する人は、あれもやらなければ、これもやらなければと考えてしまいます。しかし、個人データの棚卸し作業(=データマッピング)は業務部門側の負荷が大きく、質問票を送っても、3か月もの間、業務部門から全く返事が返ってこなかったという企業もあります。GDPR対応は社内対応において負荷がかかるため、“完璧に対応しなければならないと思わないこと”が重要です」(杉本氏)
それではどうすればいいのか。
「データマッピングをしなくても、GDPRのプロジェクト担当者なら“自社のこの部署の業務は絶対に危ない”ということが分かる場合があります。データマッピングがうまく進まない会社は、いったんデータマッピングのことは忘れて、まずは社内の”絶対に危ない”ところに注力するという対応が現実的です」(杉本氏)
具体的には、EEA域内各国のデータ保護当局に見つかった場合、制裁金を科せられてしまう可能性が高いところを特定し、その部分の対応をすぐに調達可能なリソースを使って先に行うのだ。
またその際には、業務部門に対して、できるだけ拒否反応が起こらないように工夫して説明する必要があるという。
「例えば営業部門が顧客と交わすサービス契約書について、これまでのもの全てを今すぐに見直せとは言いません。今後このひな型を使ってもらえれば今後の新規顧客との関係についてはひとまず大丈夫ですといった対応や、このサービスのデータ移転に関しては制裁金の対象になるリスクが高いので、ここだけは先に相手企業とデータ移転契約を締結しましょうといったアプローチが必要です。ケースバイケースですが、とにかく社内が一枚岩になるように、またGDPR対応プロジェクト担当者が敵視されないようにすることが肝要です」(杉本氏)
EEA域内各国のデータ保護当局には、DPOを頂点とするチームで対応する
GDPRの適用対象となる場合、EEA域内各国のデータ保護当局との窓口になるDPO(Data Protection Officer:データ保護責任者)を選任することが義務付けられる場合がある。
「現実的な対応として考えられるのは、日本本社にDPOを置き、その責任者を頂点とするDPOチームを日本で組織することです。DPOチームを設けるのは、データ保護当局やEEA所在者(=データ主体)から電話や問い合わせがあった際に、迅速に対応するためです。GDPRは、DPOへのデータ保護監督当局やデータ主体からの容易なアクセスが確保されてさえいれば、EEA域内でのDPO設置を推奨してはいるものの、EEA域外でのDPO設置を禁止まではしていません。GDPRの適用開始後、DPOが必要になる制裁金事例がどれだけ発生するかまだ分からないので、適用開始から間もないうちは日本でDPOを選任し、現地対応できるチーム体制を整えておくことがお勧めです」(杉本氏)
ただしこの時、 “どんな人がDPOの適任者なのか”を十分に理解しておくことが必要だ。
なぜなら、いったんDPOを選任した後は、たとえその企業グループの社長であっても、個人データの処理についてDPOには一切指示することができない。GDPRでは、DPOの独立性を非常に重視しているのだ。
「DPOには企業からの強い独立性と権限が保障されているため、一旦DPOを選任してしまうと、DPOに対して企業がDPOの業務内容について指示をすることはできず、また、DPOを任期途中で解任することも原則としてできません。すなわち、日本企業の本社が欧州の現地子会社が選任したDPOに対してDPOの業務について指示したり、DPOを任期途中で解任するとGDPR上の制裁金決定の対象となる可能性があります。日本企業にとってのDPO適任者とは、 まず“その会社の文化をよく理解している人”です。そしてデータ保護法にも明るい人。つまりその会社の風土や業務を十分に踏まえた上で、基本的人権の尊重を根底に据えたGDPRへの対応策を一緒に探っていくことのできる人が理想です。」(杉本氏)
しかしそれらの条件を全て満たす人材は、そう多くはない。
「そこで具体的に考えられるのは、本社の法務部門、コンプライアンス部門、総務部門、監査部門の責任者をDPOに指名するという方法です。逆にデータ保護法については詳しいが“うちの社風は知らないよね”という人は避けるべきでしょう。または、企業の内部ではなくアウトソースするという考え方もあり得ます。外部の法律事務所やコンサルティングファームに所属するデータ保護法の専門家は、DPOに与えられる強い独立性と権限を濫用する危険性が相対的に低いといえるため、DPOの候補として考えられるでしょう。」(杉本氏)
GDPR対応には、欧州の文化や考え方を十分に理解することが何よりも重要
ここまでGDPR対応を進める際の留意点について紹介してきたが、杉本氏は「実はGDPR対応で日本企業が対応に苦慮するのは、欧州の文化や考え方との違いです」と強調する。
「繰り返しになりますが、GDPRは人権保護法であり、基本的人権を守るための法律です。日本企業では、従業員の個人データの処理は、従業員が同意しているなら問題ないだろうという感覚があります。しかし欧州では、従業員は会社との関係では弱い立場にある、だから会社から個人データの処理について同意を求められれば嫌とは言えない、いくら従業員が同意していてもその同意は無効だと平気で言ってくるのです。GDPR対応は、こうした欧州の考え方や文化を尊重するところから始める必要があります」(杉本氏)
例えばEEA域内国のある拠点から、日本に現地従業員の個人データを移転しようとする時、欧州委員会が策定したSCC(Standard Contractual Clauses:標準契約条項)を含む個別のデータ移転契約を結んでいたとしても、現地のデータ保護担当者が強硬に反対するケースがあるという。
「たとえSCCを結んでいたとしても、私は従業員の人権を守るために、そのデータ移転を認めない、従業員データを処理するなら国内で行わなければ認めない、と主張する現地の欧州人担当者の説得が非常に大変な場合があります。法律や判例に照らすと、相手が不合理なことを言っているのは明らかなのですが、そこで“あなたは間違っている”と真っ向から否定すれば、そこから先は法律論ではなく、感情論になってしまいます。“従業員の人権が大事なのはよく分かった。だったらこういう解決策があるのではないか”というように、日本本社のビジネスに影響のない範囲でオプションを相手に提示することによって、落としどころを探っていくという姿勢が重要です」(杉本氏)
現在、日本本社でGDPRへの対応準備を順調に進めていたとしても、2018年に入って現地拠点に反対されたら、対応プロジェクトはそこで頓挫することになる。
「決して現地の言いなりになるということではなく、ビジネス上の落としどころを相手と一緒に探っていく“共同作業”だということを、十分に認識しておく必要があります。これもまた来年5月に向けて理解しておくべきポイントの1つです」(杉本氏)
制裁金リスクの高いところを特定して、公表済みのガイドラインから対応を進める
現在、GDPRのガイドラインは6つが公表されており、来年2月までにあと4つが出てくる予定だという。ただし杉本氏は「これまでの経緯を考えれば、残り4つ全てが来年2月に出揃うことはないでしょう」と予想する。
まずはデータマッピングをして、それが難しいなら制裁金リスクの高いところを特定して、公表されているガイドラインから順次対応を進めていく。
「現在出ているガイドラインは、データ保護責任者、データポータビリティの権利、主導監督当局の特定、データ保護影響評価、個人データ侵害通知、自動的決定およびプロファイリング、制裁金についてのものです。また今後は同意、透明性、第三国へのデータ移転、認証などに関するガイドラインが出てきますが、現段階で公表済みのガイドラインを参照し、SCC対応を前倒しで進めていくことは可能です」(杉本氏)
そしてもう1つ、杉本氏が最後に注意を促すのが、今年7月に欧州委員会と日本との間で発表された個人データ保護に関する共同声明の解釈についてだ。
この共同声明では、欧州委員会が日本の“十分性認定”を優先的に検討することがうたわれている。十分性認定とは、EU加盟国外に個人データを移転する時、相手国が個人データの保護措置を十分に講じているかどうかを欧州委員会が審査し、問題なしと認めた場合に認定を与えるというものだ。
「日本がこの十分性認定を取得できる可能性は、かなり高いと思います。そうなれば、EEAから日本へのデータ移転は、SCCがなくても可能になります。しかしここで気を付けなければならないのは、データ移転時のSCCが不要になるだけで、データ処理についてのGDPR対応まで不要になるわけではないということです。」(杉本氏)
さらにはデータ移転についても、EUから日本にデータを移転してデータベースを構築し、そこに米国の子会社などからアクセスする場合には“個人データの再移転”が発生することになる。この場合については十分性認定の対象外となり、SCCが必要にならないかを注視する必要がある。例えば日本の多くの製造業はアジアやインドなどに工場を置いており、欧州データが日本から再移転されているケースが多々あるが、その際にはSCC対応が必要になる可能性があるということだ。
「日本がEUの十分性認定を取れるなら、それはいいニュースであることに間違いはありません。しかし日本が十分性認定を取ったとしても、企業に対する個人データの処理と移転に関するGDPRの規制は無くなることはありません。EUの十分性認定を取得=GDPR対応は不要、ということにはならないのです。また、EEAから米国、インドやアジア諸国への個人データ移転についても日本の十分性認定によってSCC対応が不要となるわけではありません。日本企業はこの点を正確に理解した上で、GDPR対応を粛々と進めていくことが必要です」(杉本氏)
GDPRの適用範囲はあまりに広い。しかし杉本氏が指摘するように“完璧に対応しなければならないと思わないこと”が重要だ。欧州の文化を十分に理解し、DPOを頂点とするDPOチームを編成、制裁金リスクの高いところを特定して、公表済みのガイドラインから粛々と対応を進めていく。GDPRへはそうした対応が必要となる。
