１　GDPR施行

EUの一般データ保護規則（以下「GDPR」といいます。）が、平成30年5月25日に施行されました。施行の直前は大々的に騒がれていましたが、3か月が経過し、ニュースとしては下火になってしまいましたね。
EUにおける「規則」（regulation）は、その制定により自動的に各国の国内法の一部となり、国内において適用・執行されます（一般適用性）。したがって、GDPRは、EU域内の承認・立法化を要せず、当然に各国において適用されます。しかも、EU域外の企業にも適用される場合があるため、「うちはヨーロッパに支店なんてないから…」と無視しているわけにもいきません。

２　なぜGDPRの対応？
GDPRの施行直前、世間を大いに賑わせていた理由の一つが、GDPRに違反した場合の制裁金の大きさにあります。
GDPR第83条（以下、条文のみを示す場合は、GDPRを指します。）は、2項及び3項において、GDPRに違反した場合の制裁金の額を、
①1000万ユーロ（日本円約13億円）又は企業の前年度世界売上2％相当のいずれか高い金額

②2000万ユーロ（日本円約26億円）又は企業の前年度世界売上4％相当のいずれか高い金額
と規定しています。これは最大額であり、必ずしもこの金額満額が科されるわけではありませんが、途方もない金額が制裁金として予定されていることが分かります。
Googleに対して競争法違反を理由に約5700億円という巨額の制裁金を支払うように命じたことが記憶に新しいEUのこと、当局は「GAFA」（Google、Apple、Facebook、Amazon）あたりに巨額の制裁金を課すべく着々と準備を進めていて、しばらくすると巨額の制裁金でまた世界を震撼させるのではないか、と予想しているのは、我々だけではないと思います。
忘れた頃に、きっと全世界がGDPRに再注目する日が来るはずです。

３　GDPRの概要
GDPRは、前文173項及び本文99条で構成される「大きな」規則であり、しかも、規定内容が抽象的で、一読して理解するのは困難です。
もっとも、章ごとに追いかけると、以下のとおり、総則、原則、定義から始まり、各事業者の義務、機関、制裁と、日本の行政法規によく似た作りになっています。

第1章　総則
第2章　原則
第3章　データ主体の権利
第4章　管理者及び処理者
第5章　第三国又は国際機関への個人データ移転
第6章　独立監督機関
第7章　協力及び一貫性
第8章　救済・責任・制裁
第9章　特別の処理状況
第10章　委任行為及び実施行為
第11章　最終条項

以上の各章の条項全てを理解する必要はありません。GDPRは規定内容が抽象的な上、施行されて間もないため、どのような場合にGDPRの適用があるのか不明確な部分が多々あります。企業としては、まずは対応をする必要があるのか、必要がある場合には差し当たり何をすればよいのか理解するところから始めれば十分です。

４　次回

次回は、GDPRの適用範囲について解説します。

（神田）