欧州一般データ保護規則の弁護士業務への影響
1 改正個人情報保護法と欧州一般データ保護規則の施行
平成27年改正個人情報保護法は平成29(2017)年5月30日に全面施行される。弁護士・弁護士法人等への影響に鑑み,日弁連からは平成29(2017)年2月10日付で,「個人情報保護法改正への対応について(参考情報)」との告知があり,「個人情報保護法改正のポイント及び注意すべき主な項目」として,弁護士業務への影響についての参考情報が提供されている。他方,平成30(2018)年5月25日に施行される欧州一般データ保護規則(General Data Protection Regulation: GDPR)については,弁護士業務への影響が語られることが少ないところ,一般的な弁護士・弁護士法人であっても押さえておくべきポイントについて概説する。
2 欧州一般データ保護規則の概要
欧州一般データ保護規則は,EUデータ保護指令に代わり,欧州のデータ保護についての統一的な規制を提供する。EUデータ保護指令下では,加盟国が指令に適合するデータ保護法を制定していたが,規則については加盟国において直接的に適用される。規制の統一化という側面以外にも,指令が成立した平成7(1995)年からの技術革新,特に,インターネットの急激な発達に伴い,EU市民の権利を保護すべく,域外適用,忘れられる権利及び消去権,データ・ポータビリティの権利,データ保護・バイ・デザイン,越境移転制度の明確化,高額な課徴金制度などが盛り込まれている。(注1)
3 弁護士業務への影響
日本で弁護士業務を行うにあたっても,少なくとも下記の点については把握しておく必要があろう。
(1) 域外適用
EU内にいるデータ主体に法的サービスを提供する場合,弁護士・弁護士法人がEU内で設立されていなくとも,規則が適用される(3条2項(a))。この場合,EU内に代理人を設置する義務が生じ(27条),遵守しない場合1,000万ユーロ又は全世界の連結の売上の2%の高い方の課徴金が課せられ得る(83条4項(a))。日本から,わざわざEU内にいるデータ主体に法的サービスを提供する(ウェブサイト等で,英語でそのようなサービスを宣伝する)ということは必ずしも一般的ではないが,EU内の代理人の指名なしに,EU内への法的サービスの提供を行うことは避けるべきである。また,外国の事業者向けに日本への投資案件や日本での規制対応を扱っていることを広報する際にも適用のリスクが有ることを把握しておくべきである。これらはデータ主体そのものへの法的サービスの提供ではないが,必然的にデータ主体の個人データを取り扱うことになるからである。
(2) 越境移転制度
直接的にEU内にいるデータ主体に法的サービスを提供する場合でなくとも,日本企業のEU子会社についての情報を取り扱う場合や,EUの企業に対する投資との関係で,弁護士・弁護士法人がEUの企業から直接,又は,EUの弁護士を経由して,EU市民の個人データを取得する場合がある。この際,日本側の弁護士・弁護士法人としては,適法な越境移転方法によってEU市民の個人データの移転がなされているかを確認する必要がある。
日本は平成29(2017)年5月30日現在,欧州委員会の十分性の決定(45条)を得ていないため,現時点で利用可能な方法として,①標準契約約款(規則においては標準データ保護約款だが,経過措置として認められる)を用いているか(46条2項(d),同5項),②拘束的企業準則(BCR)により,グループローファームから移転を得るか(46条2項(b),47条),又は③データ主体から,リスクについて情報提供がなされた上での,明示の同意が得られているか(49条1項(a))といったところが挙げられる。
このうち,②については,グローバル・ローファームにおいてBCRを取得している例が見られるが,手続・費用面で,選択肢に入る事務所は僅かであろう。また,③については,GDPRにおいて,同意が撤回可能である点に留意しなければならない。日本の個人情報保護法においては第三者提供の同意を得ることが重視されているが,GDPRにおける越境移転スキームでは,同意は必ずしも安定した手段ではない。結局,標準契約約款(標準データ保護約款)の利用が現実的であるが,同約款によれば,日本側の弁護士・弁護士法人において,移転元の国の法令に従ってEU市民の個人データを取扱うことが義務付けられる(準拠法は移転元国)。
越境移転制限違反には2,000万ユーロ又は全世界の連結の売上の4%の高い方の課徴金が課せられ得る(83条5項)。日本の個人情報保護法は提供と取得を分離して規定しているが,一般データ保護規則は「取扱い」としているため,越境移転制限違反の取得側においても上記の課徴金が課せられる可能性が否定できない。
(3)その他
以上は主として弁護士業務との関係でのGDPRの適用場面であったが,案件処理との関係でも,EU所在企業のインターネットサービスの関係で,インターネット上の削除請求を受任した場合,GDPR上の忘れられる権利及び消去権の行使が選択肢として考えられる他,スマートフォンアプリの全世界公開の際にGDPRの適用を念頭に置かなければならないことなどがあり,日本の弁護士としても,少なくともGDPRの概要を把握しておくべきであろう。
以上
(注1)
詳細については石井夏生利『新版 個人情報保護法の現在と未来』(勁草書房,2017年)37頁以下,「特集1・EU一般データ保護規則施行への対応」ビジネス法務2017年8月号を参照。
問い合わせるにはこちら