一般データ保護規制 (GDPR) とは?徹底解説。海外FX業者も関係あるの!?

man
「海外FX業者から、一般データ保護規制 (GDPR) に関するメールが届いたんだけど、一般データ保護規制 (GDPR) って何?」

海外FXをする投資家に取っても、目にする機会が必ず増える「一般データ保護規制 (GDPR)」 ですが、今回は「一般データ保護規制 (GDPR)」について徹底解説します。

「一般データ保護規制 (GDPR)」とは?

「一般データ保護規制 (GDPR)」とは?

「一般データ保護規制 (GDPR)」とは

欧州議会・欧州理事会・欧州委員会が策定した新しい個人情報保護の枠組みのこと

を言います。

難しく言えば

EU法体系の根幹をなす法において保障されている、個人データの保護に対する権利という基本的人権の保護を目的とした法律

です。

正式名称は

EU一般データ保護規則
GDPR:General Data Protection Regulation

となります。

「一般データ保護規制 (GDPR)」は

  1. 2012年に立案
  2. 2016年4月に採択
  3. 2018年5月25日に施行

というスケジュールで導入されることになっており、執筆時点は2018年5月23日ですので、2日後に施行されることになります。

「一般データ保護規制 (GDPR)」って何で必要なの?

「一般データ保護規制 (GDPR)」って何で必要なの?

日本でも、個人情報を保護するための法律「個人情報保護法」が2005年4月1日に施行されましたが、2015年に「改正個人情報保護法」に改正されました。蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した形になります。

これは、10年前に導入した個人情報保護の規制が、サービスやテクノロジーの進化に追い付かなくなってしまったため、改正が迫られたのです。

EUでも、同様に個人情報保護の枠組みとして、1995年には「EUデータ保護指令」が作られましたが、20年以上が経過してしまっているため、現在のサービスやテクノロジーの進化に適用できなくなってしまっていたのです。

  • サービスのグローバル化
  • クラウドサービスの発展
  • ビッグデータの活用
    ・・・

多くのテクノロジーの進化に合わせて、個人情報の重要性と漏洩リスクが日増しに拡大していったのです。

記憶に新しいところで言えば

2018年4月4日には、facebookが最大8700万人もの利用者の情報漏えいを発表しました。データ分析会社ケンブリッジ・アナリティカ(CA)とデータが共有された可能性のある8700万人の大半は米国のユーザーであり、CAは、2016年の米大統領選でトランプ陣営が契約していたため、大きな社会問題となりました。
このような事態が増加傾向にあるため、個人情報保護を強化するためにEUも、個人情報保護の枠組みを「EUデータ保護指令」から「一般データ保護規制 (GDPR)」へバージョンアップさせることとなったのです。

「EUデータ保護指令」と「一般データ保護規制 (GDPR)」の大きな違いとは?

「EUデータ保護指令」と「一般データ保護規制 (GDPR)」の大きな違いとは?

規制のレベルが違う

  • 「EUデータ保護指令」:指令(Directive)
  • 「一般データ保護規制 (GDPR)」:規則(Regulation)

という違いがあります。

  • 「EUデータ保護指令」:指令(Directive) → 各国が独自の法規制ができる
  • 「一般データ保護規制 (GDPR)」:規則(Regulation) → 共通の方規則として適用される

のです。

そのため、今回の「一般データ保護規制 (GDPR)」の施行で

加盟各国のデータ保護法は廃止する

形となっています。※一定の事項(雇用、ジャーナリズム、研究等)については加盟国が個別のルールを立法することができます。

範囲が違う

「EUデータ保護指令」と「一般データ保護規制 (GDPR)」の方が適用範囲が広がっています。

EU内に事業拠点がなくても適用される「域外移転」を厳しく規制しています。

EEA(欧州経済領域:European Economic Area:EEA2)域内でビジネスを行い、個人データを取得する中小・零細企業を含む日本企業や日本の公的機関に対しても、幅広く適用され、GDPRの規定では、企業や公的機関がGDPRへのコンプライアンス対応を怠れば、原則として GDPR違反となってしまうのです。

罰則が違う

制裁金が「EUデータ保護指令」とよりも高額になっています。

例:

「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」

  • 企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方が適用される

「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」

  • 企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方が適用される
注目しなければならないのは「売上の割合に応じた制裁金」になっているため、売上が大きい大企業ほど、「一般データ保護規制 (GDPR)」に準じた運営をしなければ、大きな損害を被ってしまうのです。海外FX業者も同様に大企業ほど、「一般データ保護規制 (GDPR)」への適用が早いのはこのためです。

「一般データ保護規制 (GDPR)」の概要

「一般データ保護規制 (GDPR)」の概要

適用対象

GDPRは、EEA域内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するときに満たすべき法的要件を規定しています。

個人データ

自然人に関するすべての情報
  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IP アドレス、クッキー識別子)
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要素

処理

個人データに対して行われる作業
  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客の連絡先詳細の変更
  • 顧客の氏名の開示
  • 上司の従業員業務評価の閲覧
  • データ主体のオンライン識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

移転

EEA域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為
EEA(欧州経済領域:European Economic Area:EEA2)域内
EEA(欧州経済領域:European Economic Area:EEA2)域内
  • アイスランド
  • リヒテンシュタイン
  • ノルウェー
  • オーストリア
  • ベルギー
  • ブルガリア
  • キプロス
  • チェコ
  • デンマーク
  • エストニア
  • フィンランド
  • フランス
  • ドイツ
  • ギリシャ
  • ハンガリー
  • アイルランド
  • イタリア
  • ラトビア
  • リトアニア
  • ルクセンブルク
  • マルタ
  • オランダ
  • ポーランド
  • ポルトガル
  • ルーマニア
  • スロバキア
  • スロベニア
  • スペイン
  • スウェーデン
  • イギリス

保護対象となる「個人データ」の範囲

EEA域内に所在する個人(国籍や居住地などを問わない)の個人データ
  • 短期出張や短期旅行でEEA域内に所在する日本人の個人データ
  • 日本企業からEEA域内に出向した従業員の情報

なども対象となり、

EEA域内に一旦、個人データが送付されると、一旦でもEUの基準に沿ってEEA域内において処理されなければならないのです。さらに当該個人データを日本へ移転する場合にも、EUの基準を遵守する必要があります。

GDPRは、管理者または処理者がEEA域外で設立されたものである場合であっても、

  • EEAのデータ主体に対して商品またはサービスを提供する場合
  • EEAのデータ主体の行動を監視する場合

は適用されます。

例えば、日本本社のウェブサイトで EEA所在者に対して商品を販売する場合は、GDPRが直接適用されます。

保護対象となる「拠点」の範囲

拠点

固定的な体制を通じて、実効的かつ現実に活動を実施する場合、拠点とみなされる。
  • 日本企業の子会社がEEA域内にある → 拠点がある
  • 日本企業の支店がEEA域内にある → 拠点がある
  • 日本企業の業務を行う駐在員がEEA域内にいる → 拠点がある

ということになります。

つまり、EEA域内に1人でも、お客様がいる日本企業でも、「一般データ保護規制 (GDPR)」の対象になってしまうということなのです。

  • EUに子会社、支店、営業所を有している日本企業
  • 日本からEUに商品やサービスを提供している日本企業
  • EUから個人データの処理について委託を受けている日本企業

は、「一般データ保護規制 (GDPR)」の対象になることに注意が必要です。

規制内容

個人情報保護の原則

適法性、公平性および透明性の原則
  • 個人データは、適法、公平かつ透明性のある手段で処理されなければならない。
目的の限定の原則
  • 個人データは、識別された、明確かつ適法な目的のために収集されるものでなければならず、これらと相容れない方法で更なる処理を行ってはならない。
個人データの最小化の原則
  • 個人データは、処理を行う目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。
正確性の原則
  • 個人データは、正確であり、必要な場合には最新に保たれなければならない。不正確な個人データが確実に、遅滞なく消去または訂正されるように、あらゆる合理的な手段が講じられなければならない。
保管の制限の原則
  • 個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。
完全性および機密性の原則
  • 個人データは、当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。当該方法は、無権限の、または違法な処理に対する保護および偶発的な滅失、破壊、または損壊に対する保護も含むものとし、個人データの適切なセキュリティが確保される形で処理されなければならない。

管理者または処理者は、以下の「適法な処理の要件」を満たした場合にのみ、処理を行うことできます。

適法な処理の要件

  • データ主体が 1 つ以上の特定の目的のために自己の個人データの処理に同意を与えた場合
  • データ主体が当事者となっている契約の履行のために処理が必要な場合、または契約の締結前のデータ主体の求めに応じ
  • て手続きを履践するために処理が必要な場合
  • 管理者が従うべき法的義務を遵守するために処理が必要な場合
  • データ主体、または他の自然人の重大な利益を保護するために処理が必要な場合
  • 公共の利益、または管理者に与えられた公的権限の行使のために行われる業務の遂行において処理が必要な場合
  • 管理者または第三者によって追求される正当な利益のために処理が必要な場合
    (ただし、データ主体の、特に子どもがデータ主体である場合の個人データの保護を求める基本的権利および自由が、当該利益に優先する場合を除く)

噛み砕いて言うと

  • 処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する
  • 処理対象の個人データおよびその処理過程を特定しなければならない
  • 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
  • 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
  • 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
  • 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
  • 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。

ということになります。

海外FX業者から「同意」のメールが届くのは、「個人データの収集および利用目的について、有効な同意が明示的に行われなければならない」に該当するからなのです。

個人データの移転の法的要件

EEA域内からEEA域外への個人データの移転は原則として違法

移転先の国・地域に「十分性」(法整備などに基づき、十分に個人データ保護を講じていること)が認められた場合、または適切な保護措置を取った場合などには、例外的に適法とります。

例えば、日本は、欧州委員会によって適切な個人情報保護制度を有していると認められていないため、日本国への個人情報Jの移転をする場合は

  • 本人同意を得る
  • 標準契約条項(Standard Contractual Clauses: SCC)
  • 拘束的企業準則(Binding CorporateRules: BCR)

いずれかの対応によって、データ移転規制を遵守する必要があります。

制裁金

GDPR違反の場合の制裁金は下記の2種類があります。

  1. 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
  2. 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方

1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方の制裁金が課される例

  • 16歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(第8条)
  • GDPR要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第25条、第28条)
  • EU代理人を選任する義務を怠った場合(第27条)
  • 責任に基づいて処理行為の記録を保持しない場合(第30条)
  • 監督機関に協力しない場合(第31条)
  • リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第32条)
  • セキュリティ違反を監督機関に通知する義務を怠った場合(第33条)
  • データ主体に通知しなかった場合(第34条)
  • 影響評価を行なわなかった場合(第35条)
  • 影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合(第36条)
    データ保護責任者(DPO)*を選任しなかった場合、または、その職や役務を尊重しなかった場合(第37~39条)

2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方の制裁金が課される例

  • 個人データの処理に関する原則を遵守しなかった場合(第5条)
  • 適法に個人データを処理しなかった場合(第6条)
  • 同意の条件を遵守しなかった場合(第7条)
  • 特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
  • データ主体の権利およびその行使の手順を尊重しなかった場合(第12-22条)
  • 個人データの移転の条件に従わなかった場合(第44-49条)
  • 監督機関の命令に従わなかった場合(第58条(1)および(2))

海外FX業者と「一般データ保護規制 (GDPR)」の関係

海外FX業者と「一般データ保護規制 (GDPR)」の関係

海外FX業者の多くは

  • イギリス
  • キプロス
  • マルタ
    ・・・

等のEEA域内に

  • 本社がある
  • 支店がある

というケースがほとんどです。

当然、「一般データ保護規制 (GDPR)」の適用対象となります。

また、上記に該当しない場合でも

欧州向けにサービス提供をしているため

  • EEA域内に顧客がいる

のですから、ここでも、「一般データ保護規制 (GDPR)」の適用対象となります。

つまり、海外FX業者のほとんどの会社は「一般データ保護規制 (GDPR)」の適用対象ということです。

XMからのメール

==========================

XMからの非常に重要なメッセージ
大切なお客様、

お客様のXMでの取引経験の向上にお役立ていただけますよう、弊社では お客様に弊社のプロモーションやオファー、取引の利点、ニュース、イベント、その他の学習教材に関する最新情報を、今後も継続してご案内申し上げたく存じます。

既にご存知の方もいらっしゃるかと存じますが、2018年5月25日より一般データ保護規制 (GDPR) と呼ばれるEUの規制が施行されます。

お客様には弊社のEメールの受け取りをご同意いただいていますが、まもなく施行されるこれらの規制強化に伴い、弊社ではお客様にご同意の意思表明をしていただくことが法的に義務化されました。こちらの意思表明をいただきませんと、2018年5月25日以降はマーケティング関連のご連絡を一切送信できなくなります。この意思表明操作は以下のボタンをクリックいただきましたら数秒で完了します。また、こちらはXMから送付される全Eメールに含まれる「登録の解除」をクリックしていただくことにより、いつでも配信を停止することができます。

お客様は以下のボタンをクリックすることにより、XMがお客様に受け取りをご同意いただきましたマーケティング資料やその他の連絡事項を提供するために個人情報保護方針に基づきお客様の個人データを収集・利用する可能性があることに同意します。

意思表明を行うには -> こちらをクリックしてください。

==========================

XMは、キプロスに本社がある海外FX業者で、世界展開しているため、当然「一般データ保護規制 (GDPR)」の対象となります。

そのため、個人情報を使うことに対する「同意」を「意思表明」という形で求めてきているのです。

実際にXMの「一般データ保護規制 (GDPR)」の同意をすすめてみると・・・

XMからのメール XMからのメール XMからのメール

とくに難しいものはありません。

XMからのメールを見る限りは・・・

「一般データ保護規制 (GDPR)」の同意をしないと、メールが送れません。

と言っているだけですので「サービスが提供できなくなるわけではない」と現状では解釈しているようです。

しかし、当然、口座に登録する場合には個人情報が必要になるのですが、XMは登録時に個人情報の同意を取っているので、そこは問題ないということだと考えられます。

teacher
今後も、海外FX業者から、「一般データ保護規制 (GDPR)」の同意の依頼が増えるかもしれませんが、難しく考える必要はありませんので、同意をする手続きを踏みましょう。

コメントを残す

ABOUTこの記事をかいた人

おく先生

FX(海外FX中心)・バイナリーオプション・不動産投資など、投資歴10年、ほぼ投資だけでご飯を食べています。FXを中心として、様々な投資関連の情報を実際に実行しながら発信します。1000万円単位の失敗投資もたくさんしています。 FX資産額:3,000万円 保有不動産:2億円・7戸(戸建て中心) 借金:0円