2016年4月に採択されたEU(欧州連合)のデータ保護規則(GDPR)について、ウィルマーヘイル法律事務所ブリュッセルオフィスの杉本武重弁護士は2016年5月13日に都内で講演し、「中小企業ではEU法の適用があるとは夢にも思っていない方が多く、無防備でいると制裁金が高額になる恐れがある」と語り、法制度への対応を急ぐよう求めた(写真)。
EUデータ保護規則は個人データの処理やEU域外に移転するための法的要件を規定し、2018年5月25日から適用される。EUに拠点がない日本の中小企業であっても、商品やサービスを提供していたり、EU居住者の個人情報を扱っていたりする場合は対象になる。
データ処理の原則を守らなかった場合、最高で全世界の年間売上高の4%以下または2000万ユーロ(約25億円)の制裁金を課せられる恐れがある。ただ杉本弁護士は、制裁金は違反があれば必ず課せられるものではなく、違反の軽重によって管轄するデータ監督機関が決められると説明。「監督当局に協力をして制裁金を課されないよう防御も可能」と述べた。
その上で杉本弁護士は個人データ処理で法的に求められる要件として、「説明責任」「内部記録」「データセキュリティに関する義務」や「データ主体(データに関連する個人)の権利の尊重」の4つがあるとした。このうち説明責任や内部記録では、単に規則を守るだけでなく、「当局から電話がかかってきたら、どう守っているか説明しなければいけない。処理の記録を全て残しておかなければならない」と述べた。
また、データセキュリティの義務では、ハッキングなどで個人データが漏洩した場合、72時間以内に監督機関に通知をしなければ、場合によって全世界年間売上高の2%以下の制裁金が課せられる。
例えば、EU域内の個人データを保管している日本本社のサーバーがハッキング被害に遭った場合、「データ主体に監督機関に駆け込まれて通知していなければ、そこが端緒になって義務違反ということで制裁金を課せられる事態が容易に予想される」(杉本弁護士)と指摘。どこにEUの個人データがあるか、漏洩があればすぐ分かる体制が必要だという。また、業務内容によっては日本企業もデータ保護の法令順守を担う「データ保護役(DPO)」を選任する必要がある。
EUから日本への個人データを移転するのは原則禁止であるため、日本企業は「標準契約条項」(SCC、Standard Contractual Clauses)や、「拘束的企業準則」(BCR、Binding Corporate Rules)が必要になる。これまではSCCを締結する日本企業が多かったものの、BCRを申請する動きもあるという。杉本弁護士は「日本企業の関心は非常に高い」と話す。ただ、「大企業はEU競争法で域外適用の恐ろしさを理解しているものの、EUに拠点のない中小企業は情報がなくて全く知らない方もいる」と警鐘を鳴らしている。
