全世界の年間売上高の４％または2000万ユーロとは？

EC地域における個人情報を扱う事業者にデータの厳格な管理を義務づける「一般データ保護規則（GDPR）」が5月25日に施行されました。この規則では個人データをEU域外に持ち出すことを原則禁止とし、規則に違反した場合は巨額の制裁金が課せられる可能性があります。

GDPRでは、顧客のメールアドレスやクレジットカード情報などの個人データを扱う事業者に対して、第三者へのデータ提供の有無を明示して同意を得ることなど、データの取得や移転の方法を細かく規定されています。規則に違反した事業者は、最大で全世界の年間売上高の４％または2000万ユーロ（日本円で約26億円）の高い方の制裁金が課せられます。

厳しい規制の背景には、膨大な個人データを囲い込んでいるGoogleやFacebookなどのアメリカのIT大手企業に対するEU側の警戒感がありそうです。

そして、米Google、米Facebookとその傘下のInstagramとWhatsAppの4社が5月25日GDPR施行後まもなくプライバシーを侵害していると提訴されました。EUのプライバシー保護団体noyb.euは、4社がプライバシーについて「同意するか、しないならば利用するな」という方針をユーザに押し付け、サービス規約への同意をユーザに強要していると批判しているようです。この訴えが認められれば、最大でGoogleには37億ユーロ（約4700億円）、Facebookとその傘下には合計で39億ユーロ（約4954億円）の罰金が科せられることになります。

5月31日、都内において個人情報保護委員会と欧州委員会と会合を開いて、GDPRに基づく個人データの域外移転について日本の「十分制認定」を行う方向で協議することに合意しました。「十分制認定」は個人データの域外移転を可能にするもので、欧州委員会がGDPR第45条に基づいて、個人データの保護施策がEUと同等水準であると評価した国や地域を認定するための制度です。日本はまだ「十分制認定」を受けていないので、認定に向けた協議が始まります。日本が「十分制認定」を受けることで、日本の事業者はEU圏内在住者の同意を取得することを前提に個人データの利用が可能になるわけです。しかし、個人データの取扱いにはGDPRの厳しい要求に対応しなければならず、違反した場合には日本の事業者であっても、「最大で全世界の年間売上高の４％または2000万ユーロの高額の方」が制裁金として課せられる場合もあります。個人情報保護委員会では、「外国にある第三者への個人情報の提供制限」について規定した個人情報保護法第24条に基づくガイドラインを公表するなどの整備を進めていますが、この取り組みが欧州委員会によって評価されることになります。日本が欧州委員会から十分制認定を受けたとしても、実際に個人データを扱う事業者は、GDPRに基づく実効性のあるセキュリティ対策などを整備することが求められることになります。