Global Reachグローバル展開する企業を支援

MENU

コラム|Column

GDPRの執行制度

今回のGDPRの欧州議会での採択に先立って、日本のマスメディアで最も大きく取り上げられたのがGDPR上の強力な執行制度であったと言ってよいでしょう。GDPRは、(i)監督当局(Supervisory Authority)による高い制裁金を課し(ii)適切な制度的枠組みを設定することにより、強力な執行を保障しようとしています。

i.制裁金制度

GDPRの制裁金の上限は、二つの類型があり、

①前事業年度の企業の全世界年間売上高の4%以下または2000万ユーロのいずれか高い方
②前事業年度の企業の全世界年間売上高の2%以下または1000万ユーロのいずれか高い方

のいずれかとなります。下の表はGDPR上の代表的な義務違反の種類を示したものです。

制裁金額の上限 義務違反の種類

企業が右記のいずれかに当てはまる場合、前事業年度の企業の全世界年間売上高の2%以下または1,000万ユーロ以下のいずれか高い方

  • 子供の同意に適用される条件(子供が16歳以下の場合、子供の個人データの処理は同意が与えられ、当該子供に対する親の責任の保持者によって権限を与えられた場合にのみ有効である)に従わなかった場合(第8条)
  • GDPRの要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第25条、第28条)
  • 義務があるのにEU代表者を選任しない場合(第27条)
  • 責任に基づいて処理行為の記録を保持しない場合(第30条)
  • 監督機関に協力しない場合(第31条)
  • リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第32条)
  • セキュリティ違反を義務があるのに監督機関に通知しなかった場合(第33条)、データ主体に通知しなかった場合(第34条)
  • データ保護影響評価を行なわなかった場合(第35条)
  • データ保護影響評価によって示されていたにも係わらず処理の前に監督機関に助言を求めなかった場合(第36条)
  • データ保護責任者(Data Protection Officer「DPO」)を選任しなかった場合、またはその職や役務を尊重しなかった場合 (第37~39条)

企業が右記のいずれかに当てはまる場合、前事業年度の企業の全世界年間売上高の4%以下または2,000万ユーロ以下のいずれか高い方

  • データ処理に関する原則を遵守しなかった場合(第5条)
  • 適法に個人データを処理しなかった場合(第6条)
  • 同意の条件を遵守しなかった場合(第7条)
  • 特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
  • データ主体の権利およびその行使の手順を尊重しなかった場合(第12-22条)
  • 個人データの移転の条件に従わなかった場合 (第44-49条)
  • 監督機関の命令に従わなかった場合 (第58条(1)および(2))

管理者/処理者が、故意または過失により、同一あるいは関連する処理業務に関して、GDPRの複数の条項に違反した場合、制裁金額の合計額が、最も深刻な違反に対して課される制裁金の額を超えることはありません。

監督当局は、制裁金を課すかどうか、また制裁金の金額を判断するにあたり、以下の基準に配慮する必要があります。下のリストを見るとGDPRのコンプライアンス対応を行っていた場合の方が、行っていなかった場合よりも、制裁金が減額される可能性があることが分かります。例えば、「リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった」という義務違反については、自社でセキュリティチェックを行う能力がある会社は自らチェックを行うことで足りる場合もあり得ますが、外部の信頼できるITソリューションのサービスプロバイダーによるセキュリティチェックを受けることが、制裁金を課されない、または制裁金を低く抑えるためのポイントになるといえます。

  • a)問題となる処理の性質、範囲、または目的、影響を受けるデータ主体の数、およびデータ主体が被った損害のレベルを考慮した、違反の性質、重大さおよび期間
  • b)違反の故意性または過失性
  • c)データ主体が被った損害を緩和するために管理者または処理者が講じた措置
  • d)GDPR第25条および第32条に基づき実行された技術的および組織的対策を考慮した、管理者または処理者の責任の程度
  • e)管理者または処理者による関連する以前の違反
  • f)違反を救済し、違反によって生じ得る悪影響を緩和するための、監督当局との協力の程度
  • g)違反によって影響を受けた個人データの種類
  • h)監督当局が違反を知ることになった経緯、特に、管理者または処理者が監督当局に違反を通知していたかどうか、通知していた場合、どの程度通知を行ったか
  • i)GDPR第58条第2項に言及のある方策が以前に管理者または処理者に対して同じ係争に関して命じられていた場合、当該方策への遵守
  • j)承認を受けた行動規範または承認を受けた認証手続への遵守
  • k)違反によって直接または間接に、獲得した金銭的利益、被らずに済んだ損害等の事案に応じたその他の加重または軽減事由
IIJではGDPRに対応するためのITソリューション、GDPRへの対応状況を見える化できるWebプラットフォームなど、幅広いソリューションをご提供しています。
IIJ GDPR対策ソリューション
IIJ DPOアウトソーシングサービス
IIJコンプライアンスプラットフォーム for GDPR

杉本 武重

バード・アンド・バード法律事務所 ブリュッセルオフィス パートナー弁護士

2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年8月ウィルマーヘイル法律事務所ブリュッセルオフィス・シニアアソシエイト。
その後、ギブソン・ダン・クラッチャー法律事務所を経て、2018年にバード・アンド・バード法律事務所ブリュッセルオフィスにてパートナー弁護士に就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。