【イベントレポート：後半】Privacy Tech サミット 2022 夏 | 2022年7月27日開催

中道

2022年4月に改正個人情報保護法が施行されましたが、実際のところ日本企業のプライバシー関連法への対応状況はいかがでしょうか？

大井

2022年4月に施行でしたので、当然ながらそのタイミングに合わせて対応された企業が多かったです。一方で、現在でも対応が完了していない企業も一定数あります。

そういった企業の中には、ひとまず外部から見えるプライバシーポリシーや開示書類等の整備を3月末までに行い、それ以外の内部体制の構築やデータの棚卸しなど外から見えない部分について、4月以降も継続的に対応されているというケースがあります。

社内に法務部がある企業だと3月末までに対応済というケースが多いのですが、法務部がいない企業では、デジタルマーケティングや情報システム部が主導となって対応を進めることが多く、そもそも法律について知るところから始まるので若干遅れ気味という印象があります。

中道

2018年にはEUでGDPRが施行されていますし、日本企業も対応が必要なケースがあると思いますが、施行から4年が経過してみて、各企業のGDPRの対応状況はいかがでしょうか。

白井

一概に言えない部分もあるんですが、まず、業種による対応状況への傾向が見受けられます。ヘルスケアや金融業界など規制の厳しい業界が、GDPRへの対応をしっかりされている印象です。

あとは、BtoBサービスを提供している企業からのお問合せも多々あります。理由としては、欧州で事業展開をするにあたり、新規顧客を獲得するためにはGDPRへの対応が基本要項となるからですね。EU圏の会社から、「GDPRに対応していなければお取引や契約は難しい」と言われて、慌てて弊社にご連絡いただくことも多くあります。

中道

日本の企業において、GDPRに対応しなければならない企業の数や対応状況はどんな感じなのでしょうか？

白井

GDPRの施行から4年が経った現在においても、大手企業であってもGDPRにしっかりと対応できているかというと、そうは言えない企業が多い印象があります。

また、そもそも何をもって対応済みとするかというところもポイントになってくると思います。誤解が多い点なのですが、GDPR対応とは「チェックリストを満たすことではなく、継続的に取り組むこと」であります。

以前は「GDPRコンプライアンス対応済」という証明書のようなものを発行していた団体がヨーロッパにあったのですが、現在はそのような団体はなくなりました。GDPRが一過性の対応ではなく、継続的な対応である一方で、それに関する誤解を生まないためにこのような証明書の発行が廃止されたのではないかと思っています。

中道

GDPRは日本法と比べて罰則金も高いですし、EUをみていると各国の個人情報保護当局が日常的に罰則を課しているニュースをみるのですが、日本企業や日本企業の子会社・グループ会社が過去に罰せられたことはあるんでしょうか？

白井

弊社では、現時点で日本企業に罰則が課された事例は把握していないですね。基本的には、Googleなどの大きな企業が罰せられるケースが多いです。

中道

日本の個人情報保護法も、改正以降、何か罰せられたり指摘を受けたりした事例はないのでしょうか？

大井

社名公表されるケースとされないケースがあり、公表のあるケースは今のところ出てきていないですね。

中道

改正法施行後に限らず、日本の個人情報保護法において何か行政指導を受ける等のリスクは頻度で言うとどのくらいあるんでしょうか？

大井

データ利活用企業においては、しばしば調査や、指導が入ります。調査や指導が入るきっかけは色々あり、同業他社からの告発やユーザーからの苦情などから調査に至るというケースが多いです。

中道

GDPRだと、その辺りが結構オープンになっている印象なんですが、日本法だと公表しないケースが多いんでしょうか。

大井

GDPRについても同じで、GDPRの違反事例は無数にあるのですが、その中から公表されているのはGAFAを中心とする制裁金の金額の大きな大規模事案です。制裁金の金額が大きくない小規模の事案はニュースになりませんし、各国の個人情報保護当局が全ての事案を公表するわけでもありませんので、世に出てこない公表されないものがたくさんあります。

中道

日本と海外の温度感の差はどんな感じですか？

大井

日本企業でもグローバル企業であればしっかりと対応している企業はかなりアンテナを高く持っており、温度感が高い印象です。逆に、そうでない企業は、GDPR対応を何もしていないというように、二極化しています。

中道

白井さんはいかがですか？

白井

アメリカや英国、イスラエル、インド、オーストラリア、ニュージーランドからの問い合わせが多く、意識が高いと感じています。これらの国々に共通するのは、英語が母語もしくは主に話されている国であるということです。

やはりGDPRでは、判例や文書が基本的に英語が多いので、英語に慣れ親しんでいる国は情報にアクセスしやすいという理由から、意識の高さや違いが生まれてくるのかなと思っています。

中道

日本の個人情報保護法の考え方は、GDPRや他国のプライバシー関連法とはかなり異なりますが、なぜ日本はこれほど独自色が強いのでしょうか？

大井

こちらに関しては、わからないです（笑）とはいえ令和2年の改正個人情報保護法もかなりのGDPRの影響を受けていますよ。GDPRの内容をかなり取り込んではいるので、日本法にしっかり対応するためにはやはりグローバル法の知見が活きてきます。

白井

これはGDPRに限った話ではないですが、世界では色々なデータ保護法があり、GDPRがグローバルスタンダードになりつつある一方、各法律で若干違う部分もあるので、GDPRと他の法律の規制を誤って理解してしまっていることがあります。

例えば、他の法律ではデータ管理者だけが規制の対象になっているものもあるので、GDPRについても「データ処理者は規制対象とならないので、弊社は関係ないです」と主張する会社があったりします。

大井

「プライバシーポリシーへの同意について、同意を得ない場合その後のサービス提供不可、同意を得ない場合にホームページにアクセス不可というのは問題ないでしょうか」という質問がありました。

必ず同意しないとサービス提供を受けられない、もしくはwebサイトが見られないという状態をクッキーの壁（ウォール）という意味で、クッキーウォールと言います。

GDPRにおいては、そういったものは違反になります。一方で、日本法においてはそこまで厳密にこの論点について指摘されている事例はありません。よって、今はまだグレーゾーンなので、同意しないと先に進めないというサービスは非常に多いです。

中道

この論点に関しては、同意を取るタイミングの話も関係すると思っています。例えば、サービス利用にあたって会員登録をする場合は、そのタイミングで利用規約とかプライバシーポリシーに同意すると思います。ただ、「このクッキーの使い方嫌だな」と思っていても、サービスを使うためには仕方ないので同意するしかないですよね。法律的には問題がなくても、ユーザー心理上良くないですよね。

大井

一応、日本でも法的な論点にはなり得ます。同意するか否かは自由意志で決めて良いわけですが、サービス提供を受けるためには同意せざるを得ないんですよね。なので、同意の任意性があるかどうかという論点では日本法でも問題になり得ます。

ただ、GDPRは明確に個人情報保護当局が見解を出している一方で、日本ではあまり裁判になった事例もありませんし、個人情報保護委員会の指導も行われていませんので、ある種、放任されているという印象ですね。

白井

GDPRについて、「域外適用を受けることと越境移転規制を受けることの違いはなんでしょうか」という質問がありました。

EU域外に拠点のある企業でもEUの対象となるのが「域外適用」です。域外適用の対象となると、GDPRが全面的に適用され対応が必要になります。

一方、越境データ移転に関する規定というのは、GDPRの中の規定の一つでEU域外に域内のデータを移転する際のルールを定めたものです。

GDPRが定める標準契約条項にあたるSCC、またはその他の一定のメカニズムを用いることで域外へのデータ移転が可能になるんですが、データ保護の水準がEUから認められて「十分性認定」が与えられている国に関しては、一般的なデータ移転のための措置が不要になります。日本は2019年から十分性認定を与えられています。なのでEU域内から日本へのデータ移転に関しては、追加の措置が不要となっているのが現状です。

ただ、ここで注意が必要なのが、十分性認定による追加措置の免除というのはあくまでデータ移転におけるものなので、GDPRの他の規定には対応が必要となっています。

大井

域外適用と越境移転は、言葉は似ていますが意味は全く違うんですよね。域外適用というのはGDPRの全条文・全規制が日本企業にそのまま適用される、言い換えると日本企業がGDPRの全要求・指導に対応するのが域外適用です。

域外移転というのはEUの個人データをEUの外に持ってくる場合の移転規制、一局面の規制なんですよね。

ここで注意しておいていただきたいことが一点あります。これまで日本企業や日本の海外子会社へのデータ移転はSCCという契約でもって適法化している実務が定着していたのですが、このSCCを利用している企業においては対応が必要となります。このGDPRのSCCが2022年12月末までに改訂が必須とされます。対象となる企業は古いデータ移転契約である旧SCCを締結している企業となりますが、これを直して、新SCCというものに切り替えなければならないんです。つまり、GDPRの中の条文は改正されていないのですが、越境移転規制に関しては実質的な改正がなされ、GDPRよりも厳しくなっています。このことに気づいていない企業が結構多くあるので、注意していただきたいです。

中道

「企業のサイトで多言語のグローバルサイトを構築している場合、各言語やアクセスもとに従って対応した法律の同意やプライバシーポリシーの用意をする必要があるのか」という質問がきています。

大井

韓国語のサイトを構築した場合に直ちに韓国の個人情報保護法の適用を受けるかというと、それはまた別問題です。域外適用を受けるかどうかの判断は、各国毎の個人情報保護法の要件をチェックする必要があるからです。

従って、法的には多言語でグローバルサイトを作成したからといって、現地法の域外適用を受ける場合を除き、必ずしも、それぞれの国の法律に従ったプライバシーポリシーや同意の取得方法を取る必要はありません。その一方で、消費者目線で考えると、これまで慣れ親しんだ国内のサイトと様子が異なると違和感を感じますよね。我々が文法が誤っている日本語のサイトを見ると買いたくないなと思うのと同じように、各国のウェブサイトやECサイトのフォーマットがあります。それらのインターフェースに関してはその国の法律のフォーマットや必要的な記載事項、書きぶりに沿った方が消費者の理解を得られますので、ユーザー目線としては、各国法を睨んでサービス設計をすることをお勧めしています。

白井

「EU圏からのアクセスを遮断しておらず、クッキーを使ったEU域内の個人の行動の監視がある場合、同意バナーを出すなどの対応が必要なのか」という質問がきています。

Cookie関連の規制は、EUではGDPRではなく「eプライバシー規制」という別の規制のもとで定められており、Cookieが使用されている場合は対応が必要となります。また、その場合はCookieバナーを介して同意がされて初めて、対象となる情報が取得されるというシステム要件が必要です。

ただ、唯一の例外として「必須Cookie」においては、同意取得前に利用可能となっています。必須クッキーとは、一言で言うと「webサイトが機能するために必要なCookie」のことを指します。例えばECサイトの買い物かごのCookieは、どのサブページにアクセスしても買い物かご内に選択した商品が入っている状態を可能にするためのものなので、必須Cookieに該当します。また、言語設定に関するものについても必須クッキーとみなされます。

大井

私からも補足すると、IPアドレスの設定によってEU圏からのアクセスを遮断することは技術的に可能です。そうすれば完全にGDPR適用の対象から外れることが明確になりますので、GDPRに基づく同意バナーを出す必要はなくなります。もちろん任意で同意バナーを出しても構わないですし、むしろそれが望ましいです。

他方で、アクセスを遮断しなくとも「そのサイトの性質がEU居住者をターゲットにしているか」という観点で該当しなければGDPR適用はされません。まずは、GDPRが適用されるかどうかを判断する必要があります。

中道

そうですね。この辺りはケースバイケースでもあると思うので、ご不明点があれば我々にご連絡いただくのが良いかと思います。