GDPR施行1カ月前にして、ようやく、条文の解説や要約・ポイント解説にとどまらない、実務レベルで役立つ文献が公刊されました。





「GDPR」というキーワードに引っかかる書籍、専門誌記事、ネット記事等は一度は目を通すようにしていましたが、
  • GDPRの条文の組み立てに沿って逐条解説またはその要約をしたもの
  • GDPR施行後の制裁リスクが高いポイントに絞って実務対応をピンポイントで指南するもの
この2つのいずれかだったと思います。昨年ご紹介した『日米欧 個人情報保護・データプロテクションの国際実務』は前者にあたりますし、「ビジネス法務」「ビジネスロー・ジャーナル」などの解説記事はほとんどが後者にあたります。

一方本書は、企業目線での疑問や不安に対するQ&Aという形で情報を整理し、各条文・ガイドラインをまたがった理解・解釈が求められるポイントについて、横断的に目配りを利かせたアドバイスを提供する本となっています。

BF3D5216-6604-4192-8C41-866889BC39DE0FFCEF63-93A4-4A76-88BF-C50AC6209B15


過去何度か、Q&A形式の書籍に対する批判的なコメントをした自覚がありますが、本書については、著者が述べたい・述べることができるAnswerを書くためにしらじらしいQuestionを立てるといったことがなく、本当にGDPRを知らない企業が思いつくであろうQを思いつくであろう順に網羅しています。また、Answerの中でより細かい法律的・実務的解説が必要な場合は、さらに後ろにその細かいQ&Aを立ててリンクを張るなど、前から順に読んでいっても自然と理解が深まっていくような、そんな配慮がなされていることが感じられました。これはこの手のQ&A本でよく採用される共著分担式ではなかなか実現できないことです。加えて、著者中崎先生自身が本書刊行までの期間、多数の企業からの度重なる調査依頼に実際に応えていらっしゃったことも伺わせます。

ところどころでGDPRと日本の個人情報保護法の義務の具体的な差異について比較がされている他、VI章以降では、個人データに関する規制の世界的動向(韓国・インドネシア・ベトナム・ロシア)に触れ、さらには同じEUのルールでもまだ未施行のe-Privacy Regurationについてまで言及している点も圧巻です。日本でも少し遅れて夏ごろに発効される見込みと報じられた十分性認定に甘えることなく、GDPRを積極的に遵守する体制を整えていくことが、結局はこれからの企業のグローバルでの競争力を高めていくことにつながる、ということを強めに述べています。

十分性認定で何が変わるのか、変わらないのか

まず、越境移転規制以外の規律は、十分性認定による影響を受けない。さらに、注意すべきは、越境移転規制の中でも、EU・日本間の十分性認定によりカバーされるのは、EUと日本の相互間の越境移転に限定される点である。たとえば、EUだけでなく、東南アジアにも展開している事業者であれば、EUからの個人データの移転先は日本の支社だけとは限らず、東南アジア各国にも移転している可能性があるが、日本・EUの相互認証によっては、EUから東南アジア各国への移転はカバーされず、依然として越境移転規制の対象となる。(P344-345)


さて、本書の感想とは少し離れて、GDPRの施行が近づくにつれバタバタとしている中ではありますが、少し注意したほうがいいのかなと思っているのが、GDPRをいかに上手に遵守しようとも、EUの原則的スタンスとしては、「EUから個人情報を持ち出すな(移転禁止)」であるという点です。

EU域外に対しても法的執行力を担保しようと、EU域内に代理人を設置するところまで強制し、応じなければ世界の潮流から乗り遅れるというムードまでしらっと醸成しているGDPR。素直にうまいなと感心はしますが、個人からの同意を前提とした情報収集の自由や、国家間の政策・法制度・企業競争力にまで大きく影響を及ぼしているのも事実。今後さらに義務を強化することもあり得ない話ではありません。

個人のプライバシーは尊重しつつ、特に域外適用という点については、他の国が立てたルールに盲目的に従い続けていていいのか、疑問も感じるところです。