2018年5月より施行されるEU一般データ保護規則(GDPR)について、AWSなどのクラウドサービスの扱いがどのようになるか分からなかったため、今回調べてまとめてみました。参考としたのは、日本貿易振興機構(JETRO)が出している「EU一般データ保護規則(GDPR)」に関わる実務ハンドブックです。
1. GDPRとは?
GDPR(General Data Protection Regulation)はEUで施行される日本の個人情報保護法のようなもので、ざっくりポイントをまとめると、
・2018年5月25日に施行
・個人情報の「処理」と「移転」に関して定めた法律
・欧州経済領域(EEA) 内で取得した個人情報をEEA外に移転することを禁止
・対象はEEA域内でビジネスを行っている企業すべて
・違反行為に対しては高額な制裁金が課される可能性がある
となります。
2. 個人情報の範囲は?
GDPRにおける個人情報の範囲は以下になります。日本の個人情報保護法と異なり、IPアドレスやcookieなどのそれ単体では個人を特定できないものまで含まれることに注意が必要です。
・氏名
・識別番号
・所在地
・メールアドレス
・オンライン識別子(IPアドレス、cookieなど)
・身体的、生理学的、遺伝子的などの固有性に関する要因
3. 対象となるのは?
GDPRの対象となるのは、EEA域内の現地法人・支店など置くすべての企業・団体・機関です。また、 EEA域内に支店などを置かない企業でもインターネット取引などでEAA域内の所在者の個人情報を取得・移転する場合は対象となります。
そのほか、短期出張や出向等でEAA域内に滞在する日本人の個人情報についても対象となる点に注意が必要です。
4. 「処理」って何? 処理のルールは?
GDPRでは「処理」=自動的な手段であるか否 かに関わらず、個人デー タ、または個人データの 集合に対して行われる、 あらゆる単一の作業、ま たは一連の作業と定められています。よく分かりにくいですが、個人情報の収集や保存、加工、利用などの一連の作業すべてが「処理」となります。
処理に関するルールの代表的になものは以下になります。
説明責任
GDPRの要件を遵守し、それを実証できなければならない
内部記録
個人情報の処理行為の内部記録を保持しなければいけない
個人データのセキュリティ要件
個人情報を保護するために適切なセキュリティ措置を講じなければならない
個人データの侵害通知
個人情報が不正アクセス等で侵害された場合は監査機関およびデータ主体(個人情報元の本人)に通知しなければいけない
データ主体の権利
データ主体(個人情報元の本人)には情報権、アクセス権、訂正権、削除権(忘れられる権利)、制 限権、データポータビリティの権利、異議権、および自動的な個人の意思決定 に関する権利があり、これらを尊重しなければならない
5. 「移転」って何? 移転のルールは?
GDPRでは「移転」に関して明確に定められていませんが、EEA域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為が対象になると考えられます。すなわち、メールでのEAA域外への個人情報の送付や、WebサイトでEAA域内に所在する個人の情報を収集し、EAA域外で保存する場合などは対象になります。
移転に関するルールですが、原則EAA域外への個人情報移転は禁止されます。例外として移転が認められるのは以下のケースです。
・移転先の国・地域に「十分性※」が認められた場合
※法 整備などに基づき、十分に個人データ保護を講じていること
・標準契約条項(SCC)や拘束的企業準則(BCR)でデータ保護措置をとった場合
残念ながら日本の個人情報保護法では十分と認められていないため、日本への個人情報移転を行う場合には、標準契約条項や拘束的企業準則が必要になります。
なお、標準契約条項(SCC)と拘束的企業準則(BCR)の概要は以下の通りです。
標準契約条項(SSC)
SCCとは、欧州委員会によって決定されたデータ移転の契約書の 雛形であり、EEA域内のデータ輸出者と EEA域外のデータ輸入者の二当事者間で、当該雛型を使っ てデータ移転契約を締結することで適切な保護措置を提供し、適法なデータ移転を可能とする もの。例えば、EAA域内の現地法人で取得した個人情報を日本国内の本社で利用する場合、現地法人と本社の間でSCCを結ぶ必要があると考えられる。なお、EU各国のデータ保護監督当局によっては、データ移転を開始する前のの届出・承認が必要となる場合もあるようなので注意が必要。
拘束的企業準則(BCR)
事業者グループ内で、EEA域外の第三国の管理者または処理者に向けて個人データ移転を行うために遵守される個人データ保護方針。事業者グループ内で策定し、監督機関による審査・承認を以ってデータ移転が可能になる。事業所グループ内が適用範囲となるため、事業者グループ外との移転に関してはBCRでは許可されない点に注意が必要。
6. 制裁金どのくらい?
制裁金の上限については2パターンあり、違反の度合いによって分けられています。
・2,000万ユーロ、全世界売上高の4%のいずれか高い方
適法に個人情報を処理しない場合や監督機関の命令に従わない場合など、悪質な違反に適用される。
・1,000万ユーロ、全世界売上高の2%のいずれか高い方
処理行為の保存を行わない場合やセキュリティ違反の通知を怠った場合などの違反に適用される。
7. AWSなどのクラウドサービスを利用している場合はどうなる?
ようやく本題です。
EAA域内で取得した個人情報をクラウドサービスに保存する場合、そのデータセンタがEAA域外にある、もしくはバックアップ用途でEAA域外にコピーされている場合、GDPRの「移転」に該当すると考えられます。そのため、AWSをはじめとする各クラウドサービス事業者はGDPRに準拠するように整備を行っており、契約書に関してもSCCを含むものを準備しています。
そのため、クラウドサービスの利用者側は、GDPRが施行される前までにクラウドサービス事業者とSCCを含む契約書で契約し直し、監督機関に届出を行う(必要な場合)ことで、GDPRに準拠した形で継続してクラウドサービスを利用できると考えられます。