インターネットイニシアティブ(IIJ)の欧州現地法人・IIJ Europeが先月、EUで施行される新たなプライバシー保護法「一般データ保護規則」に対応するため、当局の承認取得に向け申請を提出したことを発表した。この規則への対応を誤ると、日本企業が数千億円規模の巨額制裁金を課される恐れもあるという。欧州事業を営むすべての企業に多大な影響を与えるデータ保護規則とはどのようなものか。(日高 彰)
データ保護違反の罰金が数千億円に
EUは1995年に「EUデータ保護指令」(通称)を採択し、EU域内で取得した個人データの域外への移転を原則禁止するなど、世界でも最も厳しいレベルのプライバシー保護制度を整備してきた。
ただ、EUにおいて「指令」と呼ばれる制度は、EUに加盟する各国を直接拘束するものではない。指令の目的をどのように達成するかは加盟国それぞれに任されているため、データ保護指令の採択をうけてEU各国が制定した国内法の内容にはばらつきがあった。
95年以降、インターネットの急速な普及によって国境を越えたデータの移転が容易となり、各国の規定が異なると円滑な経済活動の妨げにもなることから、欧州議会は今年4月、従来のデータ保護指令を発展・強化する形となる「一般データ保護規則」(2018年5月発効)を可決。EU法のなかでも「規則」は最も強力な拘束力を有し、指令とは異なり発効されると全加盟国で即時に効力を有する法となる。
今回の「指令」から「規則」への格上げは、単にプライバシー保護の体系をEU域内で統一するだけのものではない。情報・通信業界で目下最大の懸念事項となっているのは、規則に違反した際の制裁金額だ。現行の法制度下でも、ソニーのゲーム部門が運営するオンラインサービス「PlayStation Network」で不正アクセスによる大規模な個人情報漏えいが発生した際、英国当局が25万ポンド(13年1月当時のレートで約3500万円)の制裁金をソニー傘下の欧州子会社に課したことがあり、その額は小さくはない。
しかし、18年以降のデータ保護規則においては、制裁金の上限は「2000万ユーロ以下、または企業グループの全世界年間売上高の4%以下のうちいずれか高い額」と定められており、これまでとはケタ違いの金額だ。個人データの不適切な取り扱いが、企業の存続自体を左右する、数十億~数千億円規模の罰金につながりかねないのだ。
現地法人がない中小企業も対象に
一般データ保護規則は欧州における法制度改正だが、日本企業にも多大な影響を与えることが予想される。なぜなら、この規則ではEU域内に拠点をおく企業はもちろん、EU域外からEU域内向けに商品やサービスを提供する企業も対象に含まれるからだ。
例えば、海外拠点をまったくもたない日本の中小企業であっても、欧州の顧客と取引がある場合、欧州の顧客の情報を日本のサーバーに格納すると法に触れることになる。また、同じ企業グループ内のEU現地法人との間であっても、現地からEU域外への個人データの移転は認められないので、欧州法人の社員情報を東京の本社にある人事システムに保存すると違法となる。IoTやFinTechの普及が進むと、アプリケーションの設計時には想定していなかった欧州の個人データが、システム上に流れてくることもあり得るため、データ保護規則の網にかかる日本企業は今後ますます増えると考えられる。
では、欧州の個人データを適法状態で扱うにはどうすればよいのか。解決策の一つが、「SCC(Standard Contractual Clauses、標準契約条項)」と呼ばれる欧州委員会が認める“ひな形”に沿った契約を、欧州現地法人と日本の本社との間で締結し、当局の承認を得るやり方だ。SCCを結んだ企業間でのデータ移転は合法となる。ただし、ITインフラの一部をアウトソースしている場合、委託先との間でもSCCにもとづく契約が必要とある。具体的には、EU域外にデータセンターを置くホスティングサービスやクラウドを利用する場合、それらの事業者との間でもSCCを結ぶ必要がある。また、EU各国に現地法人を置く企業では、現地法人の数だけ契約が必要となり、法務部門の業務が膨大なものになる。
BCRの取得で“域内扱い”に
IIJ Europe
小川晋平
ディレクター もう一つが、企業グループ内での情報管理の規則を「BCR(Binding Corporate Rules、拘束的企業準則)」として文書化し、当局の承認を得る方法で、今回 IIJ Europeが承認取得を申請したのもこのBCRだ。同社の小川晋平・ディレクターは、「BCRは、いわば欧州と同じレベルのデータ保護措置を講じていることの証明に相当する。承認されれば、IIJグループ内のITインフラはEU域内同等の扱いになるので、欧州の当社データセンターにあるデータを東京に移すことが可能となる」と説明。日本のクラウド事業者としてBCRを申請したのは同社が初といい、今後約1年の審査プロセスを経て来年秋までに承認を取得することを目指している。
ユーザー企業にとっても、BCRの承認を取得したクラウドを利用すれば、ITのインフラ部分についてはEUのプライバシー基準を満たしていることの証明になる。アプリケーション部分はユーザーの責任範囲となるため、ユーザーが構築したシステム上にデータを域外移転する場合には、ユーザー側でも個別にSCC契約などが必要となるが、インフラの構築・運用にあたってEU基準を気にしなくてもよくなるので、法制度対応の負担は大幅に軽減される。小川ディレクターによれば「万が一、データ保護規則発行後に違反がみつかった場合も、EU基準に準拠したアウトソース先を利用していれば制裁金が低減されることもある」といい、今後は“EU基準対応”がデータセンターやクラウド事業者の選定条件に加わることも考えられる。
実際にEU当局がデータ保護規則をどこまで厳格に適用するかは、発効後にならなければわからない。しかし、過去にはEU競争法(独占禁止法に相当)に違反するとして、マイクロソフトやグーグルといった米国企業が半ば“狙い撃ち”され、制裁金や訴訟の対象となった例もあり、EU法は実質的な非関税障壁として運用される恐れがある。
大手クラウド事業者が集中し、EU市民を含む多くの個人データが置かれているのは米国だが、EUと米国の間では「EU-U.S. プライバシーシールド」と呼ばれる法的スキームがあり、個人データの移転に関して政府レベルでの合意がある。となると、個人データの域外移転に関してEU当局が最も厳しく目を光らせるのは、そのような取り決めのない日本に本社を置くグローバル企業となる可能性が高い。18年5月の発効までわずか1年半だが、多くの日本企業が今後対応に追われることが予想される。
