施行から1年が経過したGDPRに関して、Nick Mathys が企業にとってのハードル、執行実態と遵守の重要性について考察します。

2018年5月25日に施行された欧州一般データ保護規則（General Data Protection Regulation： GDPR）は、英エコノミスト誌の「The World in 2018（邦題：2018年世界はこうなる）」の中で、「EUがこれまでに制定した法律の中で最も複雑な規則となる」と評されたが、GDPRが意図したのは、デジタル社会において個人データがいかに使われるかに関し、人々に対して透明性の高い情報を提供すること、また人々が個人データの使われ方に関し制御できるようにすることにある。

GDPRの目的は、急速な技術革新によりインターネット、ソーシャルメディア、オンライン広告、自動処理による決定（automated decision making）が台頭してきたことに伴い、個人データが巧みに活用され、従来のプライバシーのバランスが崩れてしまったことをその原因から是正することである。

個人データの処理を行う組織に求められているのは、世界で最も厳しいデータ保護法を遵守するため業務の抜本的な見直しを行うこと、また、全ての業務分野においてプライバシーを重視する文化を根付かせることである。必要な基準を満たせない場合には、非常に重い経済的な制裁や信用の失墜を招来するような制裁が課され得ることを認識することが求められる。

2019年5月25日にGDPRが施行されてから一年の節目を迎える中、企業がこの新しい法律を遵守しようとする際に直面する課題、また実際にこの法律がどのように適用されているか、そして、なぜ企業が真剣に対応しなければいけないかをみていく。

ビジネスにおけるGDPR遵守をめぐる課題

データ管理に関して、従来から厳しい規制を受けてきた業種に所属する企業にとっては、GDPRが求める複雑で広範にわたる運営指針やプロセスを作り上げ組み込んでいくことは比較的に容易であると言えよう。例としては、金融、製薬、電気通信といった業種の企業、あるいは、情報セキュリティに関してISO 27001のような厳格な技術要件を求める基準を個別に採用している企業などが挙げられる。

これらの企業は、既存のコンプライアンスの枠組みを拡張させることで、GDPR遵守という課題に対応することができるが、対応が相当容易にできているのは、法令遵守の社内文化や、堅牢なITセキュリティ上のシステムや手順が既に存在しているからである。

一方、大多数の企業にとって、GDPR遵守のハードルは以下の理由から依然として高いのが実態である。

• 従業員全体に効果的に意識向上を促す事：　従業員はGDPR遵守の最大の番人であると同時に最大のリスク要因でもある。従って、法令違反の発生を最小限に抑え、データ活用に関する問題が生じた際に必ず有効な対応が取られるようにするには、有効なトレーニングが行われる事が必要不可欠である。その一方で、事業の全ての領域が対象となり、また、それぞれの領域に合わせたトレーニングが必要となる中で、従業員においてGDPR遵守の重要性についての意識を高め、そして従業員の働き方を変えていくには、多くの経営資源を割く必要がある。
• 効果的なコンプライアンス文書の作成：　将来的にはGDPRに関して、EUレベルでのあるいは国単位の規制当局により承認を受けた法令遵守についての標準的な文書が作成される事が想定されるが、現時点でそうしたものは存在しない。一方で、現在、規制当局が発出するガイダンスで強調されているのは、企業自身が、各企業で個別に行われている個人データの処理を反映させる形で、独自仕様の文書を作成することの重要性である。簡易に活用できる当局承認済みの文書がないために、多くの企業は、GDPRコンプライアンスに関するプロジェクトを先延ばしにしたり、あるいはウェブサイト上のプライバシーに関する通知文言の更新などの「簡易な対処法」のみに注力してしまい、スタッフに対する教育、あるいは、自社の中核となるITシステムおよびメンテナンスに従事させる外部業者としてGDPR遵守企業のみを選定する、といったリスク軽減に必要な領域への対応策を講じていない。
• ICOによる不完全で長く、細部にわたるガイダンス： 2018年5月25日以降、英国の個人情報保護監督機関（Information Commissioners’ Office: ICO)、また、欧州レベルでは欧州データ保護委員会（European Data Protection Board： EDPB）において、GDPRが企業の日々の業務においてどのように影響するかに関して企業の理解の助けとなるようなガイダンスを準備するべく、多大な取り組みが行われてきた。一方で、日々の事業活動に照らして浮かび上がるGDPRにまつわる様々な疑問に対する簡潔な回答を探そうとした場合、企業は、長文の複雑なガイダンスを苦労しながら読み進める必要がある。例えば、GDPRに関するICOのGuideは既に300ページを超えており、また、EDPBが発表した透明性に関するガイダンス（つまり、プライバシー通知）のみでも40ページになる。その他の主要分野に関するガイダンス、例えば、従業員に関する個人データや、個人データの外部組織との共有に関する規制については、いまだ発表されていない。

上述のハードルがあるために、多くの企業はGDPRに関するプロジェクトをどのように開始すべきか、開始済みの場合はどのように推進していくかがわからないまま、重要な対応を取らずにいる。中小企業かグローバル企業かを問わず、我々が過去の経験から言えることは、企業がしっかりとしたリスクベースの取り組みを行う事が不可欠であるということである。このリスクベースの取り組み方は、監督当局も推奨するもので、企業はこの取り組みを通じて、事業活動の中でリスクが最も高い分野を特定しそれに対する措置を講ずることに経営資源を絞り込むことができるため、GDPR遵守のプログラムを開始する企業にとって最初の重要な取っ掛かりとなる。

GDPRはどのように適用されているか？

2018年5月の新聞の劇的な見出し記事を受け、人々は、コンプライアンス違反の企業にはすぐさま最大2千万ユーロ（およそ２５億円）の、または、それが国際的な大企業の場合は全世界年間売上高の最大4%に相当する制裁金を課され得るリスクがあるとの印象を持った。実際には1年目の取締りの活動規模は限定的で企業にとっては当惑させられる結果となった。

• GDPRの制裁金の少なさ： 制裁金を課すケースでは、当局が行う調査は時間がかかり、通常数年を要する。2018年5月25日以降に当局が制裁金を課したケースは、その日よりも前に生じた法令違反に関するものが大半で、このために制裁金の規模も、GDPR施行前の法令で許容される制裁金の上限を超えないケースが多かった。こうした事例としては、英国でICOが課した、Facebook社に対する2018年10月の制裁金50万ポンド（およそ７千万円）やUber社に対する同年11月の制裁金38万5千ポンド（およそ５千５百万円）が挙げられるが、違反の程度や企業の売上規模から比べれば極めて小さな規模の制裁金である。
• Google社、予想されていた標的：　これまでの中で1件当たりのGDPRの制裁金として最大のものは、プライバシー通知やターゲティング広告についての同意に関連する違反に当たるとしてGoogle LLCに対してフランスのデータ保護監督当局CNILが2019年1月に課した5千万ユーロ（およそ６１億円）である。GDPRの下で最初に制裁金を課される多国籍企業の中にGoogle社が含まれるであろうこと、また、制裁金の規模も極端に大きな規模になろうことは予想されていた事である。その観点からは、額が5千万ユーロにとどまったことは、特にEUが反トラスト法によりGoogle社に対し数十億ユーロ規模の制裁金を課したことと比べた場合、GDPRの制裁は寛大と解釈された。多くの企業はCNILの決定からGDPRの制裁金は当初想定していたほど高くはならないだろうと考え始めた。
• 膨大な数の違反通知や抗議：　監督当局は、毎月届く数千件の違反通知や抗議の数に圧倒されている。監督当局の人員増強はなされているものの（ICOは700人以上のスタッフが在籍）、その人員の多くは、違反通知や抗議を受付処理する業務の対応に追われ、本来のあるべき、企業に対する取締活動が停滞する結果につながっているように見受けられる。

GDPRを今後も重要視すべき必要性の背景 

GDPR遵守には多くの課題があり、また、取締まりもこれまでのところ強硬なものではないが、規模の大小や業種を問わず、あらゆる企業は以下の理由からGDPR遵守について真剣に捉える必要がある。

• ビジネス上の理由から：顧客、サプライヤー、事業パートナー、その他の事業関係者は、業務上関係を持つ企業がGDPRを遵守していることを期待しており、GDPR遵守をしている事の証拠提示や確認を取引先企業に求める事が増えている。
• レピュテーショナル（風評）リスク：　監督当局は、制裁金を課さない場合でも、法令遵守を怠る企業に対して措置の執行がなされた事について通常対外公表している。公表された企業としては、顧客企業との信頼関係が損なわれるばかりでなく、最近では、それら企業の買収を検討している企業や合弁会社の相手企業からの見方にも影響を与えるようになってきている。GDPR違反の企業は今や、企業取引を行う際のデューディリジェンスプロセス（適正な確認手順）の中では「赤信号」として取扱われることもしばしばである。
• 集団訴訟： 多くの従業員を持つ企業あるいは多くの顧客基盤を持つ企業には、これまで以上にデータ取扱違反に起因する集団訴訟の標的となるリスクが増大している。こうした現象は、「勝訴しない限り報酬ゼロ」という形の弁護士事務所の事業モデルが台頭し始めてきていること、そして、個々人に実損がない場合でも苦痛を感じただけで損害賠償請求を行えるようになってきた事が背景にある。
• 今後増大する制裁金規模：導入初年度に執行措置が厳しいものでなかった事実のみを持って企業は安心するべきではない。重要なデータ違反行為に対しては、現在当局が調査継続をしており、今後年月を重ねるに連れて、GDPR違反に対する制裁金の急激な増加という形で表面化してくるであろう。
• サイバーレジリエンス： GDPR遵守を志向する企業は同時にサイバー攻撃を含む情報セキュリティー上の挑戦に対する対応力や立ち直る力をも向上させていることになる。
• Brexit (英国EU離脱)： Brexitが今後どう展開していこうとも、英政府は、英国におけるデータ保護法はGDPRに劣らず強力なものとなるというスタンスを一貫して表明してきている。従ってGDPR遵守をすることで企業は、英国の将来のデータ保護法を遵守するうえでの基礎要件を満たす事になる。

Lewis Townsend LLPでは、データ規制に関するあらゆる側面での助言提供を専門としており、具体的には、国内およびクロスボーダー（複数の国を跨ぐような）GDPRコンプライアンス関連のプロジェクトの実行、企業間取引、臨床試験の実行、新しいオンラインサービス事業立ち上げ、といった多岐に及ぶ分野でのGDPR規制側面からアドバイスを行っています。当事務所のクライアントには、多国籍金融機関、技術プロバイダー、通信会社、製造業、アプリケーション開発企業、eコマースを含む、あらゆる業種の企業が含まれます。

ご照会等、当事務所のデータ保護関連業務部門のヘッドまでお問い合わせください。

Nick Mathys, Partner　ニック・マティス    パートナー

Email: nick.mathys@lewis-townsend.com
T  +44 20 7096 0298（直通）
M +44 7375 527 040（携帯）

注記：上記内容は情報提供のみを目的とした2019年5月24日時点のものであり、特定の状況に関する法的アドバイスではありません。