2019/1/22の日経の記事で「欧州の個人データ移転規制、日本は対象外 枠組み23日発効」と報道されました。
一部に誤解を招きかねない解説が見られます。「欧州の個人データ移転規制」が「日本は対象外」となるのですが、これは利便性が上るだけで日本企業に高額なGDPR制裁金が課されなくなる訳ではありません。移転規制がなくなり便利になりますが、制裁金が課されるリスクは高くなります。
GDPRとBCR/SCC
GDPRは
- EU圏(EEA)からEUの個人情報の持ち出しを原則禁止
しています。グローバル企業でなくても、個人情報の持ち出しが禁止されるとビジネスに多大な影響を与えます。これでは困るので
- 「拘束的企業準則(Binding Corporate Rules: BCR)」を策定することによりグループ内への持ち出しが可能になる
- 標準契約条項(Standard Contractual Clauses: SCC)を締結することによりカバーされている範囲で持ち出しが可能になる
と定めています。
日本もEUもOECD加盟国であり、OECDプライバシー勧告に従い個人情報保護法も制定しています。つまり、多少の制度の違いは在っても同じプライバシー保護の概念で法制度と作りプライバシー保護している、ということになります。
個人情報保護にはセキュアなITシステムも欠かせません。これについてもOECDセキュリティ勧告があり、日本もEUもOECEセキュリティ勧告に基き策定されたISO 27000をITセキュリティ標準として、ISO 27000をベースとしてISMS認証制度も整備されています。
GDPRは十分な個人情報保護制度/情報セキュリティ保護制度がある場合のBCR/SCC免除も規定しています。日本とEUは昨年からBCR/SCC免除について協議してきました。その結果、日本はGDPRの個人情報移転規制の対象外になりました。
規制対象外となるのはBCR/SCC免除だけ
GDPRの原則はEU圏(EEA)からEUの個人情報の持ち出しは禁止です。禁止されている個人情報移転を合法に可能にするがBCR/SCCです。BCR/SCCでは「しっかり個人情報保護を行う管理/運用体制を持っていますよ」と表明する必要があります。高額なGDPR制裁金があるので、体制も整っていないのに「大丈夫です」と書類だけ出す、などということは高額制裁金のリスクが高いので悪徳企業でもしないはずです。
今後はBCR/SCC手続きが不必要になります。しかし、EU個人情報の移転がBCR/SCC手続きなしで行えるようになるだけで、GDPRが要求する個人情報の保護と管理は要求されます。違反した場合は制裁金が課されることは言うまでもありません。
便利になって良いことだけ、なのか?
BCR/SCCが必要な場合、個人情報を所有/管理している自分の会社だけでなく、その個人情報を取り扱う関連会社/提携会社/協力会社なども、GDPRで要求される個人情報の保護と管理が実施されていることを保証しなければなりません。
BCR/SCCが必要で無くなった為、「EU個人情報を取り扱ってないのでGDPRとは無関係」と高を括れた会社もそうでなくなります。
顧客や関連会社から預かったデータにEU個人情報が含まれるかも知れないからです。
BCR/SCCが必要であれば「あなたの会社はこういった個人情報の保護と管理を行っていますか?」と”事前”にEU個人情報を所有する会社から問い合わせ/確認があったハズです。しかし、今後は必要ありません。必要なのは契約書に
関連会社/提携会社/協力会社の責任に於て、各種法令に従いデータを保護/管理すること
と記載するだけです。個人情報保護法が施行されたのは随分前です。既にこのような記述がある契約書がほとんどでしょう。
※ 外国の法令/条約や合意も「各種法令」に含まれると考えられる。
BCR/SCC不要により、知らない間にGDPR違反制裁金の対象となる可能性がある
ITシステムを開発/運用している会社は特に注意が必要です。実際に保存/利用しているデータを取り扱う機会が多いからです。
気の利いた顧客であれば、「弊社のデータにはGDPR対象のデータも含まれるので注意してください」と言ってくれるかも知れません。そうでなければ言ってくれないかも知れません。
関連会社/提携会社/協力会社の責任に於て、各種法令に従いデータを保護/管理すること
と契約書にある場合、ITシステムの開発/運用会社の保護/管理の問題でGDPR制裁金が課される事故が起きてしまうと、周りまわってITシステムの開発/運用会社にGDPR制裁金の支払い義務が発生する可能性が十分にあります。
まとめ
EU個人情報を直接取り扱う必要がある会社にとっては、BCR/SCCが不必要になるメリットはとても大きいでしょう。しかし、元々はEU個人情報を取り扱うつもりも無かった会社でも、GDPRの要求事項に準拠した保護と管理が知らないうちに要求されていた、といった状態になる可能性があります。
多くのITシステム開発会社にとっては、今回の日本とEUの合意は便利になるどころか、意識しないうちに高額なGDPR制裁金対象になるリスクが増える、といった事になると思われます。
GDPRの制裁金は高額なので中小企業なら一発で破産もあり得ます。便利になって良いことばかり、ではなく既存の契約のままでリスクが急上昇する可能性がある。これが今回の日本とEUのBCR/SCC免除の合意です。
- ポイント: BCR/SCCが免除されるだけで、十分な個人情報保護/ITシステム保護/適切な運用が免除される訳ではない。
日本の個人情報保護法やISMS(ISO 27000)への準拠だけでなく、GDPRで要求される追加要求事項も遵守しないとGDPR制裁金の対象となる可能性があります。
GDPRについて知るにはJETROのGDPRハンドブック(基礎編・実践編)が理解りやすいと思います。英国ICOのGDPRガイドブック(295ページ PDF)も参考になります。最も確実なのEUのオフィシャルサイトでしょう。
ITシステム開発・運用を行う企業では、ISO 27000(ISMS)認証までは取得しなくても、ISO 27000に準じたシステムの開発と運用を行えるような体制にする必要性が大幅に高まった、と言えます。ISO 27000ではセキュアコーディングの実施を要求しています。システム開発ではセキュアコーディングを正しく理解/実践する、が欠かせなくなります。
※ OECDはプライバシー勧告と同じくセキュリティ勧告も行っており、EUは(日本も)セキュリティ勧告に基き策定されたISO 27000を情報セキュリティの基盤としています。当然ですがGDPRでもISO 27000で要求されている重要事項を実施しておかないと問題の原因になります。
参考: IPAの「安全なウェブサイトの作り方」は根本的な部分で誤りがあり、セキュアコーディングにはならない。 ISO 27000を無視したガイドラインで十分であるハズはないです。