GDPRとは何か?日本への影響は?

欧州におけるデータ保護法制が、間もなく大幅に見直されようとしています。現在の法制は、Facebook、Twitterなどのソーシャルメディア・プラットフォームが登場する以前のものだからです。最近、第三者が一部のソーシャルメディア・ユーザーの個人情報を、不適切とされる目的で、またその目的が公開されずに収集していたことが発覚し、個人情報の多大な価値とその使用に関して規制の追加と透明性が必要であることに注目が集まるようになりました。

2018年5月25日のEU一般データ保護規則(「GDPR」)施行により、EUで商品やサービスを販売するまたはEU居住者の個人情報を処理する全ての企業にGDPRが適用されることになります。これは企業がEU域外に所在している場合も同様です。この域外への適用によって、EUに居住する投資家を擁する場合には、日本のファンド業界にも明確な影響があります。

GDPRは、個人データに関する新たな権利をEU市民に提供します。これには、情報にアクセスする権利、不正確または陳腐化した情報を修正する権利、および「忘れられる権利」として一般に知られる削除権が含まれます。第三者から個人データを収集される際に、EU市民は、自分の個人情報がなぜ収集されるのか、それは誰が何の目的で行うかについて、明確かつ透明性のある説明を受ける権利が与えられます。さらに、GDPRでは、個人データとデータ対象者の権利を保護するために必要なプロセスとシステムの設定に関する要件を定めています。

GDPRに違反した場合は、最大、2,000万ユーロと全世界における年間売上高の4%のいずれか高い方という膨大な罰金が科されます。このため、EUで事業を行うか、またはEU市民の個人データを処理する日本企業は、GDPRに対するコンプライアンスを戦略に取り込むよう、ビジネスプロセスを慎重に評価する必要があります。ファンド・マネージャーは、GDPRの適用範囲に特定のファンド、または自らが取引しているサービスプロバイダーが含まれるかどうかを見極める措置を講じる必要があり、さらにこの法制を継続的に遵守するために、強固なコンプライアンスおよびモニタリング態勢を導入することが求められます。

日本のデータ・プライバシー法制は?

日本では、個人情報の保護に関する法律(「個人情報保護法」)によって、個人情報を取り扱う事業者の義務が定められています。例えば、個人情報保護法では、(一定の状況下で例外がある場合を除いて)データ対象者の同意を得ずに個人情報を開示することを一律に禁止しています。2017年5月30日までは、個人情報保護法の適用対象は、5,000人以上の個人の個人データを保有する事業者だけでしたが、同日に施行された修正に伴って現在、個人情報保護法は、業務において個人情報データベースを利用する全ての事業者に適用されます。

国境を越えるファンド業界の性質上、業界の当事者は、GDPRと日本双方の法制度の下、欧州経済地域(「EEA」)および日本からのデータの転送には、それぞれ厳格な規制が存在することを認識しなければなりません。第三国への転送は、EUと同等の基準を整備しているとEU委員会が認める国(ジャージー、ガーンジーおよびマン島、その他少数の国々)、またはEU法制によって定められた契約上の制限を厳守している国に対するものを除き、GDPRにおいて禁止されています。

日本から第三国への個人データの転送については、個人情報保護法により、外国の第三者に対して次の3種類の合法的な個人情報の転送が認められています。

  1. 日本のプライバシー規制当局が、許容されるデータ保護レベルを確保しているとして指定した国への転送(EUの同等性の指定に類似)
  2. 日本国内のデータ保護と同等レベルの対策が講じられた状況(データ転送に関して当事者間で厳格な制限を定めた契約条項等)における、外国の第三者への転送
  3. データ対象者による同意に基づく転送

国際データ転送の円滑化に関するEU日本間の最近の協議

EUと日本の間のデータ・プライバシーに関する最近の展開として、2017年半ばに欧州委員会と日本政府が個人データの国際転送に関して共同声明を発表しました。この声明では、EUと日本が協力関係のもと、2018年初頭までに個人データ保護措置の十分性を相互に認定することを目指すと詳細に述べられています。これが実現すれば、標準契約条項や拘束力のある企業規則等、付加的な手段は不要となり、EU日本間で個人データの転送を行えるようになります。

私どもは、日本を含め、EU域外のさまざまな法域に拠点を構えるファンド管理サービスプロバイダーであり、、この協議の行方を興味深く注視しており、相互の同等性認識が日本のファンド業界の国境を越えた発展を促進する重要なステップになると考えています。

MooreGDPRに対する準備状況は?

私どもMooreの本社は、EU域外のジャージーに立地しておりますが、ジャージーも2018年5月にGDPRを反映して策定された法制度を導入しようとしています。日本市場においてユニットトラスト形態が特に広範に用いられているケイマン諸島も同様(2019年)です。

2017年に、私どもの親会社であるFirst Names Groupは、法務、コンプライアンス、情報セキュリティ、およびデータマッピング・分析の4つのワークストリームで構成されるGDPRプロジェクトチームを設置しました。このプロジェクトチームは、同社の情報セキュリティ委員会の監視下に置かれます。当プロジェクトチームは、過去9ヵ月間、この法制度が私どものビジネスに与える影響の見極め、コンプライアンスを確保するためのアプローチの作成に取り組んできました。このプラニングと準備作業の結果として、私どもは、GDPRコンプライアンスに対して堅固かつバランスの取れたアプローチを策定したと自負しています。これは、2017年5月に発行された、英国情報コミッショナーオフィス(ICO)「12ステップ」ガイダンスペーパーをモデルとしたものです。

外部アドバイザーの協力のもと、私どもは2017年9月に準備態勢の評価を完了しました。その結果として、私どものアプローチの妥当性が立証され、2018年5月25日のGDPR施行時においてこれが遵守されるべく正しい方向で順調に準備が進んでいることが確認されました。

私どものサービスにおいて投資家皆様の個人データのプライバシーに大きな重点が置かれる新たな規制環境への移行を目前にして、私どもは世界中のお客様をサポートすることを心待ちにしております。

To find out more and speak to one of our specialists

Get in touch

We are a First / Names Group Company