日本とイギリスを繋ぐ 

日本の商習慣を熟知した英国法弁護士組織

真心を持って的確に応えるための 

顧客との信頼関係を大切にします

最善の結果を生み出す 

1+1=2にしますか3にしますか?

トピックス

日本の個人情報保護法の改正版が2017年に施行され、2018年には十分性認定に関するガイドラインも発行されました。これらの動きにより、2018年中にEUの十分性認定を取得することがほぼ確実となりました。

但し、十分性認定が行われて日本の個人情報保護法を順守すればGDPR対応に関する全ての問題が解決されると思うのは大きな間違いです。

 

日本の個人情報保護法が十分性認定されるとどうなるか?

EUの十分性認定を受ける事の意義は、EU域内から域外に個人情報を移転する場合」について今までのようなSCC等の対策が必要無くなるという点にあります。

逆に言うと、「それ以外の場合」については、今まで通りGDPR対応が必要であるということには変わりありません。

すなわち、EU域内で取得した個人情報を取扱うには、GDPRに即したData Protection Policyの作成、社員用のPrivacy Noticeも個人情報取扱いに関する細部に渡る記載がが必要とされますし、ウェブサイト上のPrivacy PolicyやCookie Policyもアップデートが必要です。また、データ主体の事前承認もありきたりの承認ではなく個人情報の取扱目的、収集方法、移転先等を細かく規定しなければなりません。 

十分性認定が行われても、EU域内にサービスや物の提供を行っている会社であれば、既にEU域内で行っているGDPR対応と同じことを日本でも行わなければならないと言う事であります。

 

十分性認定後のEU域内から日本への個人情報の移転について

GDPRのArticle 45によりあたかもEU域内の国であると同等になり、Article 6 の法的根拠を満たせば特別な対応をすることなく個人情報をEU域内から日本へ移転することが可能になります。

よって、SCCの締結の必要は無くなり、場合によってはデータ主体の事前承認無しでも日本に個人情報の移転が出来ます。EU域内の個人情報発信元は日本サイドで受信した個人情報の取り扱いに関しては責任を負いません。全て受信者任せで構わないと言う事になります。

 

EU域内日本企業の対応

日本の個人情報保護法がEUにより十分性認定されても、日系企業のGDPR対応の負担が劇的に軽減される訳ではありません。

上記の通り、唯一省略できる可能性のある手続きはEU域外への個人情報移転に際して必ずしもSCCやデータ主体の事前承認の必要が無くなるという点のみであります。この点をご理解いただき、GDPRに則した対策をとっていただく必要があります。

GDPR対応早分かり – EUデータ保護法

今、GDPRに関して日本企業が行わなければならない事は、
①GDPR対応マニュアル・Privacy Policyの導入
②Data Subjectによる個人情報の事前承認
③旧SCCの締結?

GDPRに違反した場合の罰金が全世界での売上の4%になるという情報ばかりが勝手に独り歩きしているようですが、このような罰金の対象となりえるのは ①一般消費者を対象とした業務を行っている、②業務上収集した個人情報の取り扱いに関する適切なルール導入を怠った、(例えば、情報へのアクセス管理や情報保持期間の管理を怠った場合や、情報漏洩時のリスク軽減手続きとマニュアル作成を怠った場合、ハッキング防止策を怠った場合など)③結果として個人情報が流出され、個人情報の対象者が被害を被った場合です。

在英日本企業が日本本社に現地従業員の個人情報の移転(EU域外への移転)をするに際して、GDPR対応の手続きを踏まなかった=全世界の売り上げの4%を上限に罰金を課される事はありません。EU域外への個人情報移転移に関しては少々注意が必要であるということです。

そもそも今回のGDPRの主目的は、現行DPA1998施行当時に法的にカバーできなかったインターネット、ウエブでの個人情報取り扱いの法制化にあります。
1998年の施行当時はオンラインでのショッピング(Amazonですとか、航空券の購入など)はまだたいした事はありませんでしたが、今は何千万の一般消費者が自分の個人情報(姓名、生年月日、性別、住所、銀行口座情報)をオンラインで提供しており、この個人情報の取り扱いを法的に規制する事がGDPRの目的です。

①GDPR 対応マニュアル・Privacy Policyの導入

対応マニュアルにてデータコントローラ(通常会社)、プロセッサー(個人情報処理者―含外注先)の義務を明確にすると同時にデータ主体の権利 例えば誤情報の修正、個人情報の抹消依頼権などを明確にします。
GDPRではデータ主体にどのデータ(個人情報)を何の目的のために誰が収集・処理・保管するかを明確に通知する義務を設けています。同様の義務はDPA1998でも課せられていますがGDPRでの通知義務は細部に渡る通知義務となっています。

 

②Data Subjectによる個人情報の事前承認

EU内であればGDPR Article 6により必ずしもデータ主体のConsent無しでも個人情報を収集、処理、移転する事が可能です。
EU域外への個人情報移転の場合、移転先の個人情報保護法がEUにより十分認定(GDPR Article 45)されている場合はあたかもEU内に個人情報を移転するかの如く個人情報の移転が可能です。
もし移転先の個人情報保護法が十分認定されて居ない場合はBCR*又はSCC**を移転先と締結する事をお勧めします。 (GDPR Article46)

 

*BCRは監督官庁に申請し許可が下りるまで数年掛かります。英国内でBCRの許可を受けている企業は40数社しかありません。

**SCCを締結する事が広く一般的に推奨されている様ですが、問題点は現行のBCRとSCCは旧DPA 1998に対応するものであり、GDPRに対応するものではない点です。

 

GDPR Article 94にて現行SCCの法的根拠であるDirective 95/46/ECが廃止される。Article 46.5 でAuthorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. との記載があるが旧SCCがGDPR施行の2018年5月25日以降も法的に有効であるかに関してEU法曹界の意見が二つに分かれている点です。

③旧SCCの締結?

旧SCCの法的有効性に疑問が残る点は上記のとおりです。

日本では旧SCCはGDPR施行後も当面有効であるからその締結を推奨していますが何故今SCCなのでしょうか? DATA Protection Act 1998が施行されてから20年間SCCは存在していました。

SCCの代わりにデータ主体の承認をとる手段も過去20年間存在していました。GDPRではデータ主体が承認を撤回できるからSCCを推奨するとの事ですが、現行の個人情報保護法でもデータ主体が承認を撤回する事が過去20年可能でした。

法的有効性が不確かな旧SCCを締結する事も選択肢の一つではありますが、GDPR対応のSCCがEUにより発表されるまではデータ主体の承認に頼る事も選択肢の一つです。過去20年間SCCを結ばずデータ主体の承認を得る事で個人情報の移転を行ってきたわけですから、GDPR に対応しないSCCを急いで結ぶより、今まで通りにデータ主体の事前承認で当面は対応し、EUによりGDPR対応のSCCが発表された時点でSCCFを結ばれる事を推奨します。

法的な理論を検証する事は勿論重要ですが現実的に今までどう対応してきて、何が問題であったかを検討していただきたいと思います。確実なデータ主体の承認を得ることに本当に問題があったのでしょうか?

旧SCCの締結を推奨するアドバイザーな何故過去20年間SCCの締結を推奨しなかったのでしょうか?

トランプ米大統領政権が正式に始動した。就任式典前夜にかけて、全米および世界各都市では移民政策(人種差別)、女性蔑視政策など同氏が打ち出した政策または失言に対する反トランプ抗議デモが大々的に繰り広げられた。アメリカ連保議会議事堂で開かれた就任式では多数の同党議員が欠席するなど前代未聞の異例づくしの厳しい船出となった。

でも、なぜトランプ氏に投票した支持者層の声が聞こえてこないのか。投票者=支持者という単純な構図では計り知れないアメリカが抱える複雑な事情が背景にある。

トランプ氏の公約とその実現性は・・・

トランプ政権が打ち出した主要政策のスローガンはアメリカ第一主義(America First) 。シンプルかつ共感を覚えやすいキャッチ・コピーだ。エネルギー計画、外交政策、雇用回復と経済成長、軍の強化、法治社会の強化、貿易取引を主要政策の要として打ち出した。自らの存在感をアピールしたいのか、さっそく環太平洋経済連携協定TPPからの永久離脱に署名し、まずは公約を果たした。

  1. エネルギー計画(America First Energy Plan)
    • オバマ政権が打ち出した気候変動や温暖化対策として打ち出した気候アクションプランは百害あって一利もなしとばっさりと切り捨てた。その規制撤廃により、就業者の創出や賃金増加などで今後7年間に300億ドルを超える経済効果を見込んでいる。
    • 推定50兆ドルの価値と見込まれる埋蔵シェールガスやオイルを開拓することにより、安価なエネルギー環境下で雇用回復と経済成長を図っていく。
    • エネルギー産業からの収益で道路、学校、橋など公共施設のインフラを再構築する。

 

  1. 外交政策(America First Foreign Policy)
    • ISISを含むイスラム過激派のテロ組織の壊滅を最優先とする。他連合軍との連携を強化し、テロ組織への資金供給ルートやあらたなテロリススト要員確保に利用しているプロパガンダ情報の発信網を断つ。
    • 軍隊の再強化を図る。海軍では、91年には500隻以上保有していた軍艦は2016年には275隻に、空軍も3分の1程度まで削減されたが、今後、両軍とも同水準まで戻す。

 

  1. 雇用回復と経済成長(Bringing Back Jobs And Growth)
    • 今後10年間で250万人のアメリカ人の雇用を創出させ、経済成長率を年4%水準を目指す。
    • 所得税と法人税の税率引き下げを軸とした税制改正に着手する。システムの簡素化を図る。
    • 新規規制の導入はせず、一方で既存の雇用規制を見直して、悪影響が懸念される規制を特定し撤廃する。
    • 製造業の定基盤を支える為に、違法または不公平な自由貿易協定国を特定し、再交渉により条件の改善を求めていく。

 

  1. 軍隊の再強化政策(Making Our Military Strong Again)
    • 軍隊の再強化計画を打ち出し、防衛予算削減を中止し、新たな予算を議会に提出。
    • イランや北朝鮮からのミサイル攻撃に対処できる最新のミサイル防衛システムを開発する。
    • 優秀な人材を確保することでサイバーセキュリティの能力を強化させ、防衛かつ攻撃できるサイバー基盤構築を最優先課題とする。

 

  1. 法治社会の強化(Standing up of our Law Enforcement Community)
    • 暴力犯罪の削減に取り組む。
    • すべての国民が銃を保有できる権利を支持する。
    • 不法入国や薬物の流入を阻止する一環として、国境に壁を建設する。
    • 法執行を強化させ、国境付近の不法移民を追放する。

 

  1. 貿易取引(Tread Deal Working for All Americans )
    • 世界経済の4割を占める巨大経済圏構想だった環太平洋経済連携協定TPPからは永久的に離脱するとした大統領令に署名し、選挙公約を果たした。現時点においてアメリカのTPP再加盟の可能性はゼロとなった。
    • カナダ、アメリカ、メキシコの北米3ヵ国間の北米自由貿易協定NAFTAに関しては、カナダとメキシコに対してアメリカに優位となる協定内容の見直しを迫り、もし合意に至らない場合には同協定から脱退すると明言している。
    • 今後、各国ともアメリカ優位の一方的な自由貿易協定FTAを次々と打ちだすのは必至で、この荒波は日本にも押し寄せることになる。

 

なぜ、メディアや有識者はトランプ政権誕生を予測できなかったのか。

今回の米大統領選では政治家、官僚、テレビや新聞などの主要メディアをはじめ、有識者の大半が見事に外れるというお粗末な結果となった。日本のコメンテーターで唯一トランプ氏勝利を予想したのは、木村太郎(ジャーナリスト)や藤井厳喜(国際政治学者)などわずか数人だった。 2人に共通したコメントは、「ヒラリー・クリントンが信用できない人物だ」と強調した点だ。たしかに、真実か否かは別にして、ドキュメンタリー小説「クリントン・キャッシュ」を読んだならば、予想も変わっていたはずであろう。予想を外した有識者の大半が、”後出しジャンケン”的に弁解した例も多く、日本の評論家の水準の低さが露出した。さきに英国で実施されたEU離脱を問う国民投票の予想に次ぐ失態劇である。

一方で、アメリカ国内で注目に値する人物がいる。反トランプ派の代表格でもあり、20日のトランプ大統領就任前夜にはニューヨークで反トランプ抗議デモを呼び掛けたマイケル・ムーア氏だ。同氏は、ニューヨークテロを題材にした華氏911などのドキュメンタリー映画の監督でも知られ、また極左としても名高い。皮肉にも、今回の大統領選の予想がみごとに的中した。同氏の運営サイトに「トランプ氏が勝利する5つの理由」(http://michaelmoore.com/trumpwillwin/) と題し、開票の数カ月前にアップしていた予測である。

それは緻密で膨大な取材データーをもとに客観的に捉えた目線で予想している。これら5項目をトランプ勝利の懸念材料として挙げていた。

  1. ラストベルト(寂れた工業地帯)に代表される中西部における票の流れ
  2. 白人男性の最後の抵抗(意地)
  3. ヒラリー・クリントンの政治献金疑惑
  4. 放浪するサンダース支持者の票
  5. ジェシ-.ベンチュラ氏の効果

map
※写真~ラストベルト※

過去には、製造地帯、工業地帯、スチール地帯と称されてきたこれらエリアはいま、寂れた工業地帯というひとくくりで呼称されている。

ラストベルトとは、かつてはアメリカ合衆国の工業地帯として繁栄してきた中西部および大西洋中部地域で衰退して寂れた工業地帯を指す。昨今のグローバリゼーション化の一環として、収益を追求する企業は人件費削減策として、賃金の安いメキシコやアメリカの他地域への拠点移転を活発化させてきた。その潮流は激しさを増し同地区の経済基盤は衰退の一途をたどってきた。これら地域の投票者がラストベルト票と呼ばれる。

そんななか、その地域を再び蘇らせようと高々に掲げたトランプ氏の政策に対しては、同氏の他の政策方針に反対であろうが、人間的に嫌いであろうがそれらはなんら障害にはならない。実現するか否かは神のみぞ知る・・と夢を見させてくれるトランプ氏に票が流れたという単純明確な事実である。

白人男性票とは、240年ものあいだ支配してきた白人男性にとっては、女性優位の社会は決して受け入れられるものではなく、ゆえに初の女性大統領として期待されていたヒラリー・クリントンに対する最後の抵抗勢力となった。

ヒラリー・クリントンは、2015年にニューヨーク・タイムズ・ベストセリング・ランクインし、翌2016年に放映されたクリントン・キャッシュの影響をまともに受けると予想していた。これはヒラリー・クリントンと前大統領で夫のビル・クリントンの政治資金疑惑を暴露したドキュメンタリーで、クリントン財団に対する外国からの献金の見返りに便宜を図ったとして追及されている。投票者の70%以上がヒラリーの言葉を信用していなかったとされる。

サンダース支持票とは、民主党党首選でヒラリーに敗退したバーニー・サンダース氏の支持者を意味する。若年層が多い。ヒラリーの人格や政策がそれら浮動票を獲得するのは容易でないと予想していた。

ジェシー・ベンチュラ氏とは、1990年にミネソタ州ブルックリンパーク市長を務め、かつては、プロレスラーでも名を馳せた人物である。市長選で当選できたのは人気(ポピュリズム)票が貢献したという。トランプ氏が掲げる「腐敗した政治体制をぶっ壊す!」とのスローガンと雄弁なジョークの語りがそれを彷彿させたという。

いまでも活動的にトランプ批判をしている同氏は、すでに次なる予想を公表している。それは、「トランプは任期4年を全うできない」という内容だ。幸いにも、今回は的中したが、果たしてどうなるのか。注視したい。

グローバリゼーション崩壊の兆しがトランプ誕生となった?

近年、グローバル化の崩壊と国家回帰という言葉を頻繁に耳にする。なにひとも予測できなかったトランプ大統領の誕生や英国EU離脱決定も、その時代の潮流に沿った動きなのだろうか。それは、ずばり貧困層の願いであるのだろうか。

収益を求めるグローバル企業は、コスト削減の為に低賃金の海外の地へ生産拠点及び活動拠点を移した。それが国内産業を衰退させ、俗にいうラストベルト(寂れた工業地帯)が拡大し、貧困層が増えていった。この動きは、グローバル化の先駆者だったアメリカや英国、さらに日本でも顕著である。

これら現実に耳を傾けなかった政治家に対する貧困層の不満が爆発した。

・アメリカの労働者を置き去りにして、次々に工場を閉鎖して、海外進出していった。
・ワシントンDC(官僚)に集中しているパワーを国民に還元させる。
・アメリカの国境を守れなかった。メキシコとの国境に壁を作る。不法移民を追放する。

聴衆を魅了する就任演説をしたトランプ氏の戦略は、これら貧困層の心理をみごとに掴み取ったといえる。

あまりにも漠然として、何を意味しているかは分からないが、貧困層や白人層にとっては大いなる意味を持っているのだろうか。

「偉大なるアメリカを取り戻す!」

9月21日、バハマリークスなる秘密文書ファイル流出のニュースが大々的に報じられた。さきの5月に各国の首脳や富裕層などの隠された資産運用の実態を暴露し世界中を激震させたパナマ文書に次ぐ、ICIJ(国際調査報道ジャーナリスト連合)による第2弾の公開ファイルである。 

今回、公開されたファイル数は約17万5000社とパナマ文書の規模と比較すれば1割程度ではあるが、法人名や役員氏名および個人名などの実態が明らかになり各紙面を賑わしている。公開ファイルはICIJのホームページで設けてあるオフショア・リーク・データーベース(https://offshoreleaks.icij.org/)の検索フォームで一瞬にして取得することができる。

 

なぜ、租税回避地(タックスヘイブン)は問題視されるのか。

タックスヘイブンという定義はない。また近年ではオフショア金融センターと呼ぶ傾向が顕著になっている。一般的には、所得税や法人税、資産課税などが低税率または無税の国や地域を指す。ただ、当然ながら、これらの国や地域における節税行為であっても、各国の定められた規定に則ったものであれば合法でなんら問題は生じない。 

では合法的であるのにもかかわらず、なぜ租税回避地は問題視されるのか。今回のパナマ文書やバハマリークスが示唆する問題点の本質は、これらオフシェアにおける匿名性による慣習を悪用し、脱税や租税回避などの違法行為を人為的に行っているのではという疑いが根底にあるからだろう。つまり、払うべき税金を払わずに済むようにしていることが問題視されている。 

かつては、企業やファンドがオフショア金融センターに子会社を設立し、銀行口座等への資産や所得の移転および隠蔽等が租税回避問題の代表格に挙げられた。さらには、犯罪から得られた不法な資金を洗浄するマネーロンダリングを目的に活用されてきたことで、OECD(経済協力開発機構)と各国はその対策を模索してきた。

それが顕著になったのはリーマン・ショックが起きた2008年以降だ。とくに多国籍企業の課税逃れに対する批判が高まってきた。それは同時に、企業のグローバル化が進み、多国籍企業のビジネスモデルの構造変化が進む中で、その実態をすべて把握するのが困難だという現実も浮き彫りになった。とくにも問題視されているのが、多国籍企業が人為的に租税条約の乱用や移転価格の操作を行い、所得や費用の移転を試みる行為にある。これは移転価格税制の問題である。オフショア金融センターの課税率は国・地域によってさまざまである。ゆえに、移転価格の人為的な操作は1980年代から問題視されていた。当時から銀行などの金融機関を含む日系企業も多く利用していた。だが、法整備がなされていなかったことで違法との意識は皆無または低かったようだ。

%e5%90%84%e5%9b%bd%e3%83%bb%e5%9c%b0%e5%9f%9f%e3%81%ae%e9%8a%80%e8%a1%8c%e6%8b%a0%e7%82%b9%e3%81%8b%e3%82%99%e6%9c%89%e3%81%99%e3%82%8b%e5%af%be%e5%a4%96%e8%b2%a0%e5%82%b5%e7%b7%8f%e9%a1%8d%e3%81%ae

[注;財務省説明資料(国際課税を取り巻く経済環境の構造変化)2016-5-26 2-5より抜粋]

オフショア金融センター(タックス・ヘイブン=租税回避地)への資金流入がいかに大規模なのか。一目瞭然である。リーマン・ショックに見舞われた2008年を除けば、資金流入額は最大である。今回のパナマ文書やバハマリークスで公開された資料がいかに膨大な規模になるかが伺える。

 

OECD主導によるBEPS(税源浸食と利益移転)アクションプラン

OECD(経済協力開発機構)は、納税者と税務当局との双方に向けられた移転価格税制に関 する国際的な指針を策定した。俗にいうOECD移転価格ガイドラインである。正式名称は「Transfer Pricing Guidelines for Multinational Enterprises and Tax Administrations(「多国籍企業と税務当局のための移転価格算定に関する指針」)」だ。 

OECD移転価格ガイドラインは、1979年に公表した「移転価格と多国籍企業」の内容を1995年に全面的に見直し、ガイドラインとして公表されたものだ。それ以降、企業のグローバル化の進展に伴う国際的取引の増加、取引内容の複雑化、国際的な二重課税を排除し、公正な移転価格税制の適用を図るために改定されている。ただ、同ガイドラインは各国に対して強制適用させることはできない。

現在、もっとも効果が期待されているのがOECD主導でスタートしたBEPS(Base Erosion and Profit Shifting)プロジェクトであろう。移転価格税制で最も話題になっているアクションプランである。国際課税原則を再構築、各国政府や多国籍企業の活動に関する透明性の向上、それに企業の不確実性の排除を3本柱に挙げている。国際課税を巡っては様々な議論がある。もともと各国間の国際協調ネットワーク構築は難しかったこともあったが、近年はその基盤も整備されてきている。まずは一歩前進したとはいえ、発展途上国など非協調国が多いのも事実で、まだまだ完璧な対策には程遠いのが現実だ。さらに、今後、各国で必要な法整備や租税条約の改正なども必要であり、万全なシステム構築には、まだまだ時間を要しそうだ。

%e7%a8%8e%e5%8b%99%e5%bd%93%e5%b1%80%e9%96%93%e3%81%ae%e6%83%85%e5%a0%b1%e4%ba%a4%e6%8f%9b

注;G20,G7報告等 説明資料 財務省から抜粋

%e8%87%aa%e5%8b%95%e7%9a%84%e6%83%85%e5%a0%b1%e4%ba%a4%e6%8f%9b%e3%81%ae%e5%ae%9f%e6%96%bd%e6%99%82%e6%9c%9f%e3%81%ab%e9%96%a2%e3%81%99%e3%82%8b%e5%9b%bd%e9%9a%9b%e7%9a%84%e3%81%aa%e7%8a%b6%e6%b3%81

注;G20,G7報告等 説明資料 財務省から抜粋

%e6%88%91%e3%81%8b%e3%82%99%e5%9b%bd%e3%81%ae%e7%a7%9f%e7%a8%8e%e6%9d%a1%e7%b4%84%e3%83%8d%e3%83%83%e3%83%88%e3%83%af%e3%83%bc%e3%82%af

注;G20,G7報告等 説明資料 財務省から抜粋

 

今後の方向性は・・・

オフショア金融センター(租税回避地)と称される国や地域は現在も多く存在している。その低税率・無税という優遇システムを駆使して租税回避が行われている問題は厳然として存在する。

OECDはタックスヘイブンのブラック・リストを作成したものの、オフショア金融センターとなった各国・地域の背景を鑑みると、リスト作成はなんら根本的な問題解決には至らないと疑問視する声も台頭している。

当面は、BEPS対応や自動的情報交換などのプロジェクトに、まだ参加していない開発途上国を取り込むために、より多くの国・地域の参加を促すことが最優先課題になる。匿名性を悪用した犯罪等の防止や法人の実質的支配者の把握のための国際協調を推進していくとの方針を打ち出してはいるが、一言で、「各国との協調!」といわれても、税収に伸び悩む国や地域にとっては、あえて自国に有利なスキームからの脱却は容易ではなく、一枚岩となる日はまだまだ遠い将来になるだろう。

ただ今後、ICIJ主導の中、世界中のジャーナリストによるパナマ文書やバハマリークスなどの資料が調査・分析されるにつれ、はるかに予想をこえる驚く事実が飛び出す可能性も否定できない。

すでに、違法行為の疑いで調査に入っている法人や個人も多々明らかにされている。今回の騒動が奏効して、将来的にはオフショア金融センターが租税回避地との悪名から脱する日がくるかもしれない。

英国のパーソナルデータ保護規制の枠組みとBrexitの影響

パーソナルデータの保護に関し、EUでは、1995年にEUデータ保護指令(「EU保護指令」)が制定され、EU各国がこれに準拠した法律を制定しています。英国でも、Privacy Act 1998等の法律が制定され、英国企業はこれを遵守してビジネスを遂行しています。しかし、個人および企業のコミュニケーションと情報の共有方法において、情報テクノロジーの重要な進化と根本的な変化が生じ、また、現行の規制内容では実務面においてビジネス遂行が困難にってきたことからEUのデータ保護に関する規制は、EU保護規則(General Data Protection Act)(「EU保護規則」)という形で新たな規制内容に変わることになりました。EU各国の企業においては、2018年5月までにEU保護規則に基く対応を行う必要があります。

EU保護規則は、EU保護指令と異なり、EU国内の統一的なルールとして直接EU各国に適用されます。英国がBrexitによりEUを離脱した場合、EU保護規則は、直接英国に適用されないことになりますが、英国のデータ保護規制がどのような枠組みになるかはまだ決まっていません。ただし、EU圏内との国境を超えたデータ流通が日常的に発生、増大している現状を踏まえると、英国に適用される保護規制は、EU保護規則に沿った内容になるのではないかと考えられています。本サイトではEU保護規制を前提にご説明します。

 

EU保護規則の概要

EU保護規則の主要なコンセプトおよび概要は以下のとおりです。

・EU圏内における規制の一元化
・適用範囲の拡大(ウェブサイトを通じて商品やサービスを提供している場合やウェブサイトを訪問するユーザーの行動解析をするなど個人の行動をモニタリングする企業も対象となる)
・重大な規則違反時の課徴金の引き上げ(英国:最大500,000ポンド(約6500万円)が、全世界総売上高の4%または最高2000万ユーロ(約22億6000万円)(違反内容によっては1000万ユーロ)のいずれか高い額
・明示的な同意の取得、同意の撤回
・統一透明で適切なプライバシーポリシーの提供
・データのリスク評価や書面化等のコンプライアンス面の義務強化
・監督機関の権能の拡大(複数の加盟国に事務所を持つ管理者への適用一貫性保証のため(one-stop-shop)、監督機関の権能を各国ごとからEU圏内へ広げる)、協力、整合性のメカニズムの導入
・情報処理者の責任(これまで情報管理者が責任を負っていたところ、情報処理者も責任を負うこととなった)
・データのEU域外移転時の拘束的企業準則(BCR)の法制度化(EU域内から「十分性の認定」が得られない国や地域にデータを移転する場合は、①データ主体の明確な同意の取得、②事業者がEUの定める拘束的企業準則(BCR)の策定、③欧州委員会が策定した標準契約条項のいずれかを採用する必要がある)


・明示的な同意の取得
・違反時の届出・報告、通知
・削除要求権(忘れられる権利)
・プロファイリングに反対する権利
・データ・ポータビリティの権利
・16歳以下の利用者について保護者の同意 ・データ保護影響評価
・罰金の引上げ(世界の総売上高の最大4%、最高2000万ユーロ)

 

EU保護規則は英国企業にとってポジティブかネガティブか?

英国でビジネスを展開する企業にとって、EU保護規則は現行の英国の法規制よりもポジティブな側面が多くあります。特に、各国で異なっていたデータの取り扱いや手続きを統一・調和性を持たせたことで実務面の対応時間やコストが短縮されることが期待されています。一方で、データ保護に関するコンプライアンス面の対応が必要になるなど新たなコンセプトによる重要な変更もあり、会社によっては、パーソナルデータを取り扱うビジネスのシステム・仕組みを再設計する必要が生じ、多くの時間とコストを要することが予想されます。例えば、EU保護規則において、本人は法的効果を生じさせるようなプロファイリングにさらされない権利を持つとされています。プロファイリングとは、パーソナルデータを自動的に処理してその個人的な側面を分析・予測する手法とされています。したがって、ウェブサイトを訪問したユーザーの行動履歴を収集・分析して売上につなげるオンライン広告や、マーケティングやソーシャルメディア等のビジネスから収益を獲得することを目論む会社は、ユーザーがドロップアウトしないよう利益を最大化するための最良の同意メカニズムをビジネススキームに組み込むことを検討する必要があります。なお、これらの詳細については、今後、ガイドラインが策定される予定です。

 

実務への落とし込み

各社においてEU保護規則上の要請をどのように実務面に落としこんでいくのかじっくり検討する必要があります。基本的には、パーソナルデータの内容や利用方法、頻度、規模に応じてビジネスモデルを踏まえて最適な方法を構築していくことになります。TFC法律事務所では、最適解のご検討やフォーマットの検討などのお手伝いをしています。ご遠慮なくご相談ください。