データ保護についての最新ニュース

1.十分性認定（Adequacy Decision）

1月23日、ついに待望の日本・欧州間の十分性認定が最終決定され、双方が互いのデータ保護水準を同等と認めることとなりました。すなわち、データ保護レベルを保証する特別な契約を結ばずとも、日本・欧州間で円滑に個人データを移転できるようになったのです。 

ただし、以下の点に注意してください。

データ移転そのものが円滑に行えるようになったとはいえ、企業は引き続き、そもそもそのデータ移転が適法であることを示す有効な法的根拠を証明できなければいけません。同意、契約書、法的義務や正当な利益なしに、全てのデータを保存または利用することが認められないのと同様、このような法的根拠なしに、全てのデータを移転することは許されません。つまり、データの受信者が誰なのか、そして、何のためにそのデータ移転が必要なのかということを、今後もしっかりと確認していく必要があるのです。

例えば、貴社と契約を締結した取引先が、契約履行の為に日本（または他の第三国）へのデータ移転を必要としていた場合、これまでは、事前に標準契約条項（Standard Contractual Clauses、SCC）を結ばなければならないことがよくありました。今後はこの手続は必要ありません。 

さらに、企業グループのリソース計画を目的としたものであれば、日本の親会社への従業員データの移転もより簡単になります。この場合も、以前であれば両拠点間の契約締結が必要で、標準契約条項を用いて親会社のデータ保護レベルを保証していましたが、今後は、どちらの会社がデータ移転のどの部分の責任を負うのか、そして、当事者（データ主体）の権利をどのように実行するか（特に従業員への周知・教育）を明確に規定した合意のみが、データ移転に必要となります。ここでは、以前から同様の義務があった欧州の子会社に、責任が求められることが多くなると考えられます。 

英語：http://europa.eu/rapid/press-release_IP-19-421_en.htm
日本語：https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/  

2.データ保護違反に対する罰金

先週、GDPR違反としては過去最高額となる罰金が命じられました。罰金を科されたのはGoogleで、理由は透明性の欠如および同意の不備です。罰金額は5000万ユーロですが、理論上は最大で40億ユーロの罰金が科されるおそれもありました。

もちろん、様々なドイツ当局の取り組みからも分かるように、これほど高額の罰金が科されることは極めてまれです。例えばテューリンゲン州でこれまでに言い渡された罰金の最高額は12000ユーロで、バーデン＝ヴュルテンベルク州では約8万ユーロです。罰金の算出については、バーデン＝ヴュルテンベルク州で2万ユーロの罰金が科された件を例として見てみましょう。この件は、本来であれば、はるかに高額の罰金が科されてもおかしくありませんでした。しかし、企業が当局に全面協力し、自らの過ちを認め、改善措置を取ったことから、罰金は低く抑えられたのです。 

このように、善意によって罰金が大幅に軽減されることもあるため、当局には常に協力的でいた方が良いでしょう。また、前述の件では、同企業がデータ保護違反に伴い支払った費用総額から考えれば、罰金はそのごく一部にすぎませんでした。というのも、緊急動員されたIT専門家や弁護士にかかった費用の方が、さらに一桁大きかったからです。 

つまり、先手が後手より常に有利であるように、先に準備をしておいた方が、後から慌てて処理するよりも色々な面で有益であるということです。  

3.Googleの変更事項 

Googleの殆どのサービスは、1月22日から米国のGoogle Inc.ではなく、アイルランドのGoogle Ireland Ltd.が運営するようになりました。この変更は特に上述の罰金支払い命令によるものですが、貴社のプライバシーポリシーに記載のアドレスも、これに伴い変更する必要があるかも知れません。

貴社のウェブサイトがGoogle Analyticsを利用していたり、Google MapsやYoutubeを埋め込んでいたり、Googleタグマネージャまたは貴社がGoogle Fontsをサイトに導入している場合、次のように変更してください。

• 「Google Inc.」を全て「Google Ireland Ltd.」に変更
• 「Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA」を全て「Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland」に変更 

4.英国のEU離脱（ブレグジット）がデータ保護に及ぼす影響 

ブレグジットの行方が依然不透明な中、既に一部の企業や監督当局は「ノーディール（合意なき離脱）」への準備を進めています。英国とEUが3月29日までに協定に署名しなかった場合、国際的なデータ移転はどうなるのか。「ノーディール」に終わるシナリオが、ますます現実味を帯びてきています。 

アイルランドとの国境で発生し得る社会的問題に比べれば、データ保護問題はさほど重要には思われないかも知れませんが、企業は、将来違法行為を行わないように、現時点から準備をしておく必要があります。 

「ノーディール」に終われば、英国はある日突然「第三国」となります。すなわち、ロンドン、エディンバラ、カーディフ、ベルファストへのデータ移転は、これまでのように簡単には行えなくなるのです。英国所在の企業と取引する場合には、日本との間ではもはや不要となった「標準契約条項」（冒頭参照）を、ある日を境に突然英国企業と締結する必要が出てくるかも知れないのです。大企業の場合、企業グループ内で拘束力のある内部データ保護規則を適用できる可能性もありますが、これにかかる費用や労力は、中小企業には到底捻出できません。また、標準契約条項も、正確にデータ移転の詳細を記載する必要があるため、簡単に作成できるものではありません。 

つまり、この点においても、時機を逸して慌てて行動するよりも、しっかり前もって準備をしておいた方が良いでしょう。