はじめに
最終更新日: 2020 年 9 月 25 日。欧州司法裁判所が下した Schrems II 判決を反映。
2018 年 5 月 25 日発効の新しいプライバシーとデータ保護法の概要および GDPR 準拠のためのベストプラクティス
一般データ保護規則 (GDPR) は、この数十年で最も重要な変化をデータプライバシー規則にもたらしました。各企業は、自社のシステムおよび契約の全面的な見直しに取り組んでいます。コンプライアンスおよびプライバシー重視のプラットフォームを利用している企業は、有利なスタートを切ることができます。このガイドは、GDPR が広範囲に及ぼす影響、GDPRがもたらすデータ処理業務改善の機会、および GDPR 準拠を達成し維持する方法をユーザのみなさまに理解していただくことを目的としています。
注: この GDPR ガイドは、情報提供のみを目的としており、法律上の助言をするものではありません。GDPR がお客様のビジネスに与える影響に関する助言については、お客様の法律顧問にご相談ください。
GDPR とは
一般データ保護規則 (GDPR) は、EU 全域に適用される、プライバシーとデータの保護に関する法律です。この規則では、組織のシステム内におけるプライバシー保護の強化、データ保護に関するよりきめ細やかな同意、プライバシーとデータの保護に関する組織の取り組みの詳細をユーザにわかりやすく開示することが求められます。
GDPR は、1995 年に採択された、現在のEU のデータ保護の法的枠組み (「データ保護指令」と称される) に代わるものです。データ保護指令では、EU 加盟国が個々にこの指令に関する法律を整備することが求められたため、EU 内の各国のデータ保護法に差異が生じる結果となりました。GDPR は、すべての EU 加盟国に直接的な法的効果を持つ EU 規則です。つまり、これに拘束力を持たせるために、GDPR を EU 加盟国の国内法令に置き換える必要はありません。これにより、EU 内での調和の取れた一貫性のある法適用が強化されます。
GDPR は EU 域外に拠点を置く組織にも適用されます
データ保護指令と異なり、GDPR は所在地が EU 内である企業だけでなく、グローバルに事業を展開する企業にも関係します。GDPR の下、(i) 組織が EU 内に設立されている場合、または (ii) 組織は EU 域内に設立されていないが、EU 域内にいる個人、EU 域内にいる個人に対する商品やサービスの提供、EU 域内にいる個人の行動のモニタリングに関するデータ処理活動を行っている場合、その組織は対象となる可能性があります。
GDPR が定める個人データ処理とは幅広い概念です
GDPR は、EU 域内にいる個人の個人データが組織でどのように処理されるかを管理します。「個人データ」と「処理」は、この法規則で頻繁に使用される用語であり、GDPR が定めるところの具体的な意味を理解すると、この法律の正確な適用範囲を理解することができます。
- 個人データ は、識別された個人または識別できる個人に関連する情報です。個人データは、個人を識別するために、単独で、または他の情報と組み合わせて使用される可能性のある情報を含むため、非常に幅広い概念です。個人データは、個人の名前やメールアドレスだけではありません。これには財務情報や、場合によっては IP アドレスなどの情報も含まれる場合があります。さらに、特定のカテゴリーの個人データについては、その機密性の高さから、より高いレベルのデータ保護が適用されます。このようなカテゴリーのデータとして、個人の人種や種族的出身に関する情報、政治的見解、宗教的信念と哲学的信念、労働組合の組合員であること、遺伝的データ、バイオメトリックデータ、健康データ、個人の性生活または性的指向に関する情報、犯罪歴情報などが挙げられます。
個人データの* 処理は、GDPR の定める義務が生じる主要な活動です。処理は、自動化された方法によるか否かに関わらず、個人データまたは一連の個人データに対して行われる任意の操作または一連の操作 (収集、記録、編成、構造化、保管、適合または変更、取得、参照、使用、送信による開示、普及または他の方法で利用可能にする、整列または組み合わせ、制限、消去、破壊など) を意味します。つまり、実際には個人データの保管または照会に関わるあらゆるプロセスが「処理」とみなされることを意味します。
主な概念: データ管理者とデータ処理者
EU データ保護法には、個人データを処理できる 2 種類の事業体 (データ管理者とデータ処理者) があります。
データ管理者 (管理者) は、単独でまたは他と連携して個人データの処理の目的および方法を決定する事業体です。データ処理者 (処理者) は、管理者に代わって個人データを処理する事業体です。
データ処理操作ごとに、個人データを処理する事業体が管理者か処理者かを判別することが重要です。このマッピングにより、組織は個々のデータ処理操作に伴う権利や義務を理解できます。
Stripe のデータ処理活動には、Stripe がデータ管理者として行うものと、Stripe がデータ処理者として行うものがあります。この二つの役割の良い実例として、Stripe によるクレジットカード取引の処理が挙げられます。取引を進めるには、カード保有者の名前、クレジットカード番号、カード有効期限、セキュリティコードなどの個人データの処理が必要です。カード保有者のデータは Stripe ユーザから Stripe に Stripe API (または Stripe Elements などその他の組み込みメソッド) によって送信されます。その後、Stripe はそのデータを使用して、クレジットカードネットワークのシステム内で取引を完了します。Stripe はこれらの機能をデータ処理者として実行します。ただし、Stripe は規制義務 (顧客確認 (「KYC」) や アンチマネーロンダリング (「AML」) など) に準拠する目的でもそのデータを使用します。この役割においては、Stripe はデータ管理者となります。
GDPR が定める個人データ処理の法的根拠
次に検討するのは、特定の処理操作が GDPR に準拠しているかどうかを判断することです。GDPR に基づき、管理者または処理者により実行されるすべてのデータ処理活動は、法的根拠に基づいて行われる必要があります。GDPR は、EU 域内にいる個人の個人データ処理に関して合計 6 つの法的根拠を認めています (GDPR では、EU 域内にいる個人は 「データ主体」と呼ばれます)。これら 6 つの法的根拠を、GDPR 第 6 条 (1) (a) から (f) の順で以下に挙げます。
-
データ主体は、1 つ以上の特定の目的のために自身の個人データを処理することに同意している。
-
当該の処理は、データ主体が当事者である契約の遂行のために必要である、または契約を締結する前にデータ主体の要求に応じて措置を講じるために必要である。
-
処理は、管理者に課される法的義務への準拠に必要である。
-
処理は、データ主体の重大な利益の保護に必要である。
-
データ処理は、公益または職権の行使のために実施される作業の遂行に必要である。または
-
処理は、事業体が追求する正当な利益のために必要である。ただし、そうした利益よりも個人データ保護を求めるデータ主体の利益または基本的権利と自由が優先する場合を除きます。
GDPR で許可される処理のリストとデータ保護指令に含まれているリストは似ていますが、大きく異なる点もあります。
GDPR による変更のうち、もっとも頻繁に論議されているのは、データ保護指令に比べて同意要件が強化された点です (上記リストの項目 1)。GDPR の同意要件には、(i) 同意は検証可能であること、(ii) 同意の要求は他の件と明確に区別できること、(iii) データ主体は同意を取り消す自らの権利について通知されていること、などの要素が含まれます。また、機密データの処理に関しては、さらに高い同意要件 (明示的な同意) が課されるという点に留意することも重要です。
注目すべきもう一つの重要項目は、正当な利益に関する項目 (上記リストの項目 6) です。組織が「正当な利益」を根拠として個人データの処理を行う場合、この法的根拠に関連付けられているバランステスト要件を認識しておく必要があります。GDPR に基づき説明責任の原則に従うために、組織はバランステストに準拠している旨を文書化する必要があります。これには、準拠の方法とバランステストが満たされたと判断を下す前に検討した論拠が含まれます。
GDPR が定める個人の権利
データ保護指令の下では、個人は自身の個人データに関して一定の基本的権利が保障されていました。個人の権利は、内容を明確にするために一部修正され、GDPR の下で引き続き適用されます。以下の表は、データ保護指令と GDPR の下での個人の権利の比較を示します。
| 個人の権利 | データ保護指令 | GDPR |
| データ主体へのアクセス要求 | 個人には、自身の個人データについて、その処理状況、処理の対象となる個人データ、処理方法、データ処理作業の内容を知る権利があります。 | GDPR では、この権利の範囲が拡大されています。たとえば、アクセス要求を行うとき、個人は追加情報を受け取る必要があります。これには、GDPR の下で追加された、以前は存在しなかったデータ保護に関する権利 (データポータビリティ権など) についての情報が含まれます。 |
| 異議を唱える権利 | 個人は、説得力のある正当な理由があれば、特定のデータ処理操作を禁止できます。個人はまた、直接販売を目的とする個人データの処理に異議を唱えることもできます。 | データ保護指令に比べ、GDPR ではこの権利の範囲が拡大されています。 |
| 訂正または消去する権利 | 個人は、適用されるデータ保護の原則に従って個人データの処理が行われるように、不完全なデータを完全にすることや、不正確なデータを修正することを要求できます。 | GDPR の位置付けはデータ保護指令と実質的に同じですが、手続き上の保護については GDPR の下で部分的に強化されています。 |
| 制限の権利 | 処理を制限する権利はありませんが、データ保護指令では、処理操作がデータ保護の原則に従って行われていない場合 (たとえばデータが完全でない場合や不正確である場合)、個人データのブロックを要求する権利を個人に与えています。 | GDPR では、特定の状況 (個人がデータの精度に異議を唱える場合が含む) において個人データの処理の制限を要求する権利を個人に与えています。 |
| 消去権 (「忘れ去られる権利」) | 個人には、処理操作がデータ保護の原則に従って行われなかった場合に、自身の個人データの消去を求める権利があります。したがって、この権利は非常に限定的です。 | GDPR では、この権利が大幅に拡張されました。たとえば、消去する権利は、個人データが収集された目的に関して不要になった場合、または個人が処理に対する同意を取り消して、処理の継続を裏付ける法的根拠が他にない場合に行使できます。 |
| データポータビリティの権利 | データ保護指令は、“データポータビリティ”をデータ主体の権利として明示的に言及していません。EU 加盟国各国の法律には、データポータビリティ権に類似する権利が追加され、国レベルでの法整備が進んでいる可能性があります。 | 個人は、特定のデータ管理者が保持する個人データを本人または他の管理者に提供することを要求できます。 |
多国間のデータ移転
多国間データフローは近年注目のテーマであり、この分野においてかなりの議論と法改正が行われました。また、多国間データフロー関連の法律はこの先何年か継続して整備されることもほぼ確実です。今日、EU データ保護規則の下で、EU 域内にいる個人の個人データが EU 外に移転可能となる前に特定の要件を満たす必要があります。ただし、個人データを受け取る組織の所在地が、許可リストに記載された管轄区域にある場合を除きます (許可リストに記載された管轄区域についてはこちらをご覧ください)。
GDPR の下で、法整備が常に進んでいく一方で、利用できるデータ移転の仕組みがごくわずかしかないため、多国間のデータ移転は難しいテーマとなっています。難しくはありますが、コンプライアンスに準拠した個人データのフローはすべてのテクノロジー企業の根幹となるため、組織は最新の動向に遅れずについていく必要があります。
2020 年 7 月 16 日の欧州司法裁判所が下した Schrems II 判決の結果、EU と米国間およびスイスと米国間のプライバシーシールドが有効性を失ったことから、Stripe はデータ移転のメカニズムとしてはもはやプライバシーシールドに依拠しません。プライバシーシールドが今でもプライバシー保護をユーザに提供できることから、Stripe は引き続きプライバシーシールドのフレームワークの理念を守っていきます。このため、Stripe は引き続きポリシーと規約においてプライバシーシールドに言及します。
Stripe は、多国間データ移転コンプライアンス基準を整備し、Stripe の世界各国の事業体にて行われる EU 域内にいる個人の個人データの処理をすべて管理しています。この基準は、EU の標準契約条項 (SCC) に基づくものです。
上記のとおり、多国間データフローの分野では、今後も引き続き法改正が見込まれます。このため、弊社は多国間データ移転コンプライアンス基準に関する法改正を常に把握し、EU 域内のデータ主体の個人データの多国間移転をコンプライアンスに沿って行えるようあらゆる手段を講じます。これは、Stripe のデータ移転コンプライアンスプログラムに拡張できる限りの冗長性を組み込んでいることも意味し、GDPR の下で Stripe が使用できるツールを使用してこれらの冗長性を拡張する予定です。
違反
GDPR に違反した場合の結果としてよく話題となるのは、違反した組織に課される制裁金の最高額です。制裁金の最高額は、グローバル収益の 4% または 2 千万 EUR のうち、いずれか高い方です。その他の特定の種類の違反については、グローバル収益の 2% または 1 千万 EUR のうち、いずれか高い方が課せられます。
あまり話題にならないのは、GDPR 第 58 条に定められるデータ保護機関 (“DPA”) の権限です。この DPA の権限には、データ処理の完全な禁止を含む、データ処理活動の一時的または限定的な制限などの是正措置を課す能力や、第三国の受取人へのデータフローの差し止めを命じる能力が含まれます。
Stripe と GDPR
Stripe は、プライバシー、データ保護、データセキュリティに常に配慮してあらゆることに取り組みます。Stripe はセキュリティおよびデータプライバシー関連の基準を継続的に見直し、GDPR はこの点について業界全体が協力し、改善する好機であるととらえています。
Stripe は、GDPR への取り組みを 2016 年に開始しました。弊社のサービスが 2018 年 5 月 25 日の発効日に GDPR に準拠できるよう努めています。
GDPR 準拠は多くの要素から成ります。Stripe では特に、文書や同意書を GDPR 要件に沿って更新するようにしています。また、内部ポリシーや手続きも GDPR の基準に従って改訂しています。
GDPR 準拠の要素のほとんどは、組織の個人データ処理方法の更新に関するものなので、組織の “内部で” 発生します。以下は、Stripe などのプラットフォームが、GDPR を見越して、ユーザ (およびそのプラットフォーム自体) のために実行している手順の一部です。
-
可能であれば企業の事業運営に照らして、データ保護指令の要件と GDPR の要件のギャップ分析を行う。
-
必要に応じて、内部ツール、手続きおよびポリシーを見直し更新する。
-
GDPR に定められる記録保持義務を満たすために、データマッピング業務とデータ目録作成業務を見直し、必要に応じて更新する。
-
データ保護影響評価の要件を満たすために、プライバシーとデータ保護のレビューツールに特化したギャップ分析を行う。
-
多国間データ移転に対する取り組みを更新する。
-
GDPR 第 28 条に定められる義務は、企業の契約当事者に関連するため、契約を更新してそれらの義務を反映する。
-
ベンダーとの関係を見直して、必要に応じて GDPR の要件を満たすように関係を修正し、それらの第三者が個人データを合法的に受け取って処理できるよう徹底する。
-
継続的な社員教育を含む、企業のプライバシーコンプライアンスプログラムを更新し、GDPR 対応のために実施される変更内容を反映する。
説明責任の原則
Stripe ユーザは、法務の専門家に相談の上、GDPR に基づいて自らに課されるコンプライアンス義務の全ての範囲を理解する必要があります。原則として、ユーザがEU 内に設立された組織である場合、またはユーザの所属する組織が EU 域内にいる個人の個人データを処理している場合は、GDPR が適用されます。
留意すべき 1 つの重要な GDPR 原則は、説明責任の原則です。説明責任の原則には、データ管理者は、その処理活動が GDPR に規定されているデータ保護の原則に準拠していることを実証できる必要があると定められています。コンプライアンスを実証するもっとも簡単な方法は、GDPR 準拠への取り組みを文書化して周知させることです。
Stripe では、ユーザオペレーション、営業、開発、セキュリティ、法務などの社内組織をまたいで社員が協力し、コンプライアンスを実現しています。弊社の経験上、部門間が連携し、文書を読みやすいものにすれば、GDPR 準拠のプロセス全体を進めるのに大いに役立ちます。
Stripe ユーザ向け GDPR チェックリスト
2018 年 5 月 25 日まであと数週間となり、GDPR への対応を進める小規模および中規模の組織に固有の課題が生じる可能性があります。この点を考慮して、GDPR コンプライアンスプログラムの主な要素の一部をユーザ向けのチェックリストにまとめました。
✓ 共通の理解を持つ: 技術サポート、顧客サポート、法務担当の同僚と集まり、GDPR の内容と組織への影響についての理解を促進する。
✓ 組織内における個人データの状況を明確に把握: データマッピングを実施することで、個人データがシステムによってどのように保存および処理されているかが明らかとなります。実施にあたり、以下のような質問をします。
- どのような種類の個人データを処理していますか? (例えば、財務情報、健康情報、マーケティング関連情報)
- どのような種類の個人の個人データを処理していますか? (例えば、カード保有者、子供、患者)
- この情報を処理する理由は何ですか?
- この情報の収集方法、収集理由は何ですか?
- このデータをどのように保護していますか?
- この情報を受け取る第三者はいますか? いる場合は、そのような第三者の受取人をプライバシーポリシーまたはその他の形式の通知で公表していますか? 第三者が誰であるか知っていますか? 個人に関する情報をどのくらいの期間保持していますか?
✓ 法的根拠のマッピング: 上記の 6 つの法的根拠に照らし合わせます。データマップで特定された個々の処理操作を、法的根拠に関連付けます。その関連付けにより法的根拠のマップが得られます。
✓ 権利を行使する個人への対応方法を把握:
- データマッピングの情報を使用して、データ主体のアクセス要求に応えられるようにします。
- オプトアウト、修正、消去の各要求に応じるにあたり、データマップをもとに、システム内の個人データのある場所 (および他のシステムと相互参照されている場所 ) を把握します。
- システムで使用するデータ形式を把握し、データポータビリティ要求に応答する方法を理解します。
✓ データ侵害とインシデント対応: 組織のテクニカル / セキュリティ面について同僚と話をする際には、インシデント対応計画を確実に理解しているようにします。机上訓練を数回実施し、セキュリティインシデント発生時になすべきことをインシデント対応担当者全員が把握できているようにします。インシデント対応チームを細部にわたって調整し、問題発生時にインシデント対応計画を実行するための準備が整っている状態が理想的です。
このチェックリストに追加できる要素は他にもたくさんあり、内部の専門家や外部のアドバイザーと協力して、必要に応じてカスタマイズしたリストを作成する必要があります。例えば、データ保護影響評価の実施、データ保護最高責任者の指名、マーケティング業務およびその他の企業通信業務の管理とレビュー、ベンダー管理および契約プロセスの再検討などが必要となる場合があります。
データ処理活動のマッピングにより確かな基盤を築いていれば、今後 GDPR 準拠に関してどのような問題に直面しても、その基盤が大いに役立ちます。
以下は、弊社が参照していて、役立つその他のリソースです。みなさまのお役に立ちましたら幸いです。
その他のリソース
GDPR はさまざまな場所で取り上げられていて、オンライン上で利用できる良質なリソースを把握することは困難です。以下は、GDPR の最新情報を把握するために弊社が参照しているリソースです。
-
監督当局: データ保護当局 (DPA) が各 EU 加盟国にあり、その多くは GDPR 実施に関して有用なガイドラインを公開しています。DPA のリストはこちらにあります。
-
第 29 条の作業部会 (WP29) は近日中に欧州データ保護委員会 (EDPB) となります: WP29 は各 EU 加盟国の DPA、欧州データ保護監督者、および欧州委員会からの代表者で構成される諮問機関です。2018 年 5 月 25 日より、WP29 は EDPB になります。EDPB には、各 EU 加盟国の DPA の長と欧州データ保護監督者 (European Data Protection Supervisor) が含まれます。
WP29 は数百のガイドラインおよび見解を発表し、複数の協議項目を開示しています。最新のガイドラインおよび見解はすべて、GDPR 要素を組織のコンプライアンス体系に組み入れる最善の方法に焦点を当てています。WP29 Newsroom はこちらです。
作業部会 29 の古いウェブサイトにはその他のリソースがたくさんありましたが、残念ながら、現在は新しいウェブサイトレイアウトから容易にアクセスできなくなりました。その他の資料がアーカイブされているウェブサイトはこちらにあります。
-
いくつかの DPA、法律事務所、IAPP などのプライバシー保護に取り組む組織、その他の多くの組織、NGO、企業が、GDPR 関連のイベントを主催しています。GDPR の実施に関して同じような疑問を持つ組織はおそらく他にも多数存在すると思われます。こうしたイベントは、GDPR コミュニティに参加して共に課題に取り組む良い機会となります。