旅行者の個人データ移転で2000万ユーロの制裁金? 欧州(EU)新規則の開始で旅行・観光関係者が注意すべきポイントを聞いてきた

欧州連合(EU)で発効した個人データの処理に関する「EU一般データ保護規則」(GDPR)の適用が、2018年5月25日に始まる。GDPRの違反には2000万ユーロ(約26億円)以下または事業者の場合には事業者グループの全世界売上高の4%以下という巨額な制裁金が科せられる可能性があるが、日本での周知は進んでいない。

しかし、GDPRは欧州との個人データをやり取り全ての企業や団体が適用対象。人の交流を扱う旅行・観光業界では、多くの事業者が関わることになる。

これを踏まえ、日本旅行業協会(JATA)は先ごろ、GDPRに詳しい弁護士の杉本武重氏(ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス)を招き、旅行業・観光業の事業者を対象にしたセミナーを開催。GDPRの詳細は別途、専門家の指南が必要だが、今回はセミナーで杉本氏が語った注意すべきポイントをまとめた。

日本にも個人情報保護法があるが、保護対象の個人データの範囲がGDPRの方が明らかに広い。杉本氏は「日本の個人情報保護法と同じ認識で対応すると間違ってしまう」と、警鐘を鳴らす。

GDPR(EU一般データ保護規則)とは?

杉本氏によると、GDPRを一言で説明するならば、「個人データ」の「処理」と「移転」に関する法律。EU加盟国を含む欧州経済領域(EEA)(31か国)内で取得した個人データを処理し、EEA域外への個人データの移転を原則禁止とするとともに、例外的に個人データの処理と移転を適法化する法的要件を規定するものだ。

保護の対象になるのは、個人を特定するまたは個人を特定し得るすべての情報。すなわち、個人データである。

氏名、位置データ、メールアドレス、クレジットカード情報をはじめ、IPアドレスなどのオンライン識別子や勤務先の電話の内線番号なども個人の特定につながり得るため、保護の対象となる。写真はもちろん従業員の業務評価の内容まで広範囲に及ぶ。

また、GDPRでいう個人データの「処理」とは、個人データの収集や保存、変更、開示、削除、リストの作成など、保護対象の個人データに行なわれるあらゆる作業を指す。自社のオフィスに個人データがあれば、何らかの処理を行なっていると捉えた方が良いという。

そして個人データの「移転」はGDPRで定義されていないが、EEA域外で個人データを閲覧可能にする行為のことをいうと理解すると良い。EEA域内からEメールでの個人データを含む電子文書をEEA域外に送付したり、EEA域内のクラウド上に保管する個人データを日本からアクセスして日本で閲覧することなど、EEA域内から個人データが物理的に移動していない場合にも「移転」とみなされる。

注意したいのは、ここでいうGDPRの適用範囲である。

EEA域内での個人データの処理には原則としてGDPRの適用がある。すなわち、個人の国籍や居住地を問わず、EEA域内への出向者や短期出張者、旅行者などの個人データの処理も、EEA域内での個人データの処理に該当するため保護対象になる。

EEA域外で、EEA域内に所在する個人の個人データを処理する場合も、一定の条件のもとに、GDPRの適用対象となる。

例えば、ある日本国内の旅行業者が日本のサーバ上で運営する自社のウェブサイトで、欧州にいる日本人の顧客から、訪日旅行手配の申込みを受けたとする。この場合、この旅行業者は、日本において当該顧客の「個人データ」を取得することになるが、訪日旅行手配の提供というEEA域内へのサービスの提供に際して個人データを取得することになるので、GDPRの適用があることになる。

これは当該日本国内の旅行業者が、EEA域内にオフィスを持っていても、そうでなくとも、GDPRの適用ありという結論になる。そして違反した場合には、その内容に応じて以下の制裁金が科せられる。これは、企業経営や公的機関の運営を揺るがしかねない規模の金額だ。

  • (1)1000万ユーロ以下、または、事業者の場合は前会計年度の全世界年間売上高の2%以下のいずれか高い方
  • (2)2000万ユーロ以下、または、事業者の場合は前会計年度の全世界年間売上高の4%以下のいずれか高い方

さらに具体的に旅行・観光関係で考えてみると、インバウンドの取扱いで日本本社がEEA所在者に航空券や鉄道チケット、パッケージ旅行などをオンライン販売する場合、日本本社に直接、GDPRが適用され得る。

また、日本から送客したツアーでも、例えば現地で事故が発生し、被害にあったツアー客の状況をEEA域内の事業所から日本本社に報告する場合にも、GDPRの適用が問題になるという。

GDPRへの対応で注意すべきポイント

GDPRの適用開始まで9ヶ月を切った今、GDPRに適法に対処するための準備が急務だ。そのために杉本氏はまず、「GDPRの目的を理解することが重要」とアドバイスする。

杉本氏によると、GDPRは個人のデータの保護に対する権利というEU基本権憲章上の「基本的人権の保護」をするための法律。通常、法律は関係当事者の利害調整を図るものが多いが、「GDPRは事業者のビジネス上のニーズよりも圧倒的に個人の人権を重視している」という。

一般的に、法律は解釈によって意味合いが変わり、欧州のデータ保護監督当局と事業者側の解釈には幅がある。その間となるのが裁判所の判決だ。それを説明した上で杉本氏は「欧州のデータ保護監督当局は人権保護を極めて重視する考え方に基づいてGDPRの執行にあたることが予想される。これは絶対に忘れてはいけないこと」と、注意を促した。

これはどういうことか?

欧州のデータ保護監督当局は、人権保護を重視したGDPRの解釈のもとに執行を行なう。GDPRへのコンプライアンス対応を行うにあたっては、データ保護監督当局の目線でデータ保護の論点を分析することが重要である。

例えば、どのような個人データがGDPR上の個人データに該当するかは、当局と事業者との間で立場が異なる可能性がある。当局が事業者に対してGDPRの執行を行うにあたって、まず取ってくると考えられる措置が、当局から事業者に対する質問状の送付だ。

事業者は質問状の回答期限までに回答をすることになるが、この回答の中で当局と異なるデータ保護法上の見解を披露すること(例えば、「個人データ」の範囲に関する見解の不一致)は、場合によっては、当局を不安にさせ、更なる調査、たとえば、事業者のEEA域内の事業所への立入検査につながることもありうる。したがって、事業者が当局とコミュニケーションを取る際には、戦略的に当局の見解を踏まえた上で、対応を行うことが重要であるという。

杉本氏は、「欧州のデータ保護監督当局から立入検査を受けること自体がリスクであり、未然に防ぐ必要がある」と続ける。

GDPRは新しい法律のため、仮に欧州のデータ保護監督当局から立入検査を受けたことがマスコミによって大きく取り上げられる可能性が高い。事業者または団体がGDPR違反の当局調査を受けていることが世間に知られた場合、仮に、将来的に当局の立場が誤りであったことが裁判において明らかにされたとしても、マスコミの報道から裁判所の判決が出るまでの間に少なくとも1年から2年がかかるのが通常である。が、当該事業者や団体は、GDPRを遵守していないというレッテルが貼られ、事業者や団体のイメージに大きな傷がつく。当局による立入検査を未然に防ぐためには、当局の観点を可能な限り予測した上で、当局への協力と交渉を巧みに行う必要があるという。

弁護士の杉本武重氏(ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス)

さらに、GDPRの特殊性の観点からも、万全な準備が不可欠だという。

GDPRは、これまでEEA各国が個別に施行していた加盟国の国内法としてのデータ保護法を廃止し、1つの法律として成立したもの。EEA加盟国共通の法律だが、当局はEEA各国の「データ保護監督当局」がそれぞれ行なう。つまり、巨額な制裁金を科す権限が各国当局に与えられている。

これがどうして注意すべきポイントになるのか。

杉本氏は、欧州各国の経済状況がそれぞれ異なることを指摘。制裁金が納付されると、その国の国庫に入り、次年度のデータ保護監督当局の予算が増加されることにつながりうる。予算が増加すれば人権保護をさらに強化できるという考えのため、制裁金額と検挙数が当局側の評価に繋がるのだ。

さらに杉本氏は、調査や質問が英語ではなく、その国の現地語で行なわれる可能性も指摘。そうなると、「当局の質問がきただけでもパニックになってしまう。現地語から英語、日本語へと翻訳が入り、混乱が起きる可能性もある」という。

早期のコンプライアンス対応が重要

杉本氏はGDPRを適法に対処するために、まずは「GDPRが定めている『個人データ』の『処理』と『移転』の概念を正しく理解することが極めて重要」と強調する。

GDPRの適用対象になる個人データの所在やそのデータとの関わり方(個人データを処理する目的と手段を決定する「管理者」か、管理者のためにデータ処理を行なう法人・個人である「処理者」か)、データ移転先との関係などを確認・整理することが、「対応の出発点」と杉本氏。

この作業を事業者グループおよび団体全体で行うことが、GDPRへのコンプライアンス対応の第一歩である。データマッピングというGDPR遵守のための現状を把握するための作業がこれにあたる。より具体的には、個人データの処理と移転の要件それぞれを満たすようにコンプライアンス対応を行うための準備のことをいう。

具体的な手順としては、個人データの処理と移転の論点について、事業者・団体のEEA拠点に質問票を送付し回答を回収することにより行う。場合によっては、各EEA拠点におけるインタビューを行う。事業者・団体のEEA外の拠点においても必要に応じてデータマッピングを行う。データマッピングをきちんと行うことがGDPR対応の鍵である。データマッピングは、最低でも2~3ヶ月はかかる作業だ。

また、個人データや処理の範囲とその対応の仕方、原則禁止としている個人データの移転を行なうための手続きなどについては、GDPRの条文と第29条作業部会(データ保護監督当局の代表者、欧州委員会司法総局データ保護課の代表者、欧州データ保護監視官局の代表者によって構成されるデータ保護の論点に関する諮問機関)が公表するGDPRのガイドラインをしっかり確認して対応する必要がある。

このうち、移転については、移転先の国・地域に「十分性」(法整備などに基づき、十分に個人データ保護を講じていること)が認められた場合や、適切な保護措置をとった場合に適法となる。日本は現在、「十分性」を認められていないため、日本企業は標準契約条項(SCC:Standard Contractual Clauses)、または拘束的企業準則(BCR:Binding Corporate Rules)によって適切な保護措置を提供することによって順守する必要がある。

また、昨今はサイバー攻撃による個人データ漏洩リスクも高まっており、各社が対応を強化しているところ。これにもGDPRは関わっており、杉本氏によると「旅行業は数多くの個人データを保有しているため、漏洩の件数が大きければ重大な人権侵害の問題と捉えられる。制裁金算定においても不利な事情となる可能性がある」という。

なお、日本貿易振興機構(ジェトロ:JETRO)では、杉本氏に委託してGDPRに関する「実務ハンドブック」を制作。ホームページ上で公開した。これは誰でも無料で閲覧することができる。


みんなのVOICEこの記事を読んで思った意見や感想を書いてください。

観光産業ニュース「トラベルボイス」編集部から届く

一歩先の未来がみえるメルマガ「今日のヘッドライン」 、もうご登録済みですよね?

もし未だ登録していないなら…