一般データ保護規制 (GDPR) とは？徹底解説。海外FX業者も関係あるの！？

「海外FX業者から、一般データ保護規制 (GDPR) に関するメールが届いたんだけど、一般データ保護規制 (GDPR) って何？」

海外FXをする投資家に取っても、目にする機会が必ず増える「一般データ保護規制 (GDPR)」 ですが、今回は「一般データ保護規制 (GDPR)」について徹底解説します。

「一般データ保護規制 (GDPR)」とは？

「一般データ保護規制 (GDPR)」とは

を言います。

難しく言えば

です。

正式名称は

となります。

「一般データ保護規制 (GDPR)」は

1. 2012年に立案
2. 2016年4月に採択
3. 2018年5月25日に施行

というスケジュールで導入されることになっており、執筆時点は2018年5月23日ですので、2日後に施行されることになります。

「一般データ保護規制 (GDPR)」って何で必要なの？

日本でも、個人情報を保護するための法律「個人情報保護法」が2005年4月1日に施行されましたが、2015年に「改正個人情報保護法」に改正されました。蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した形になります。

これは、10年前に導入した個人情報保護の規制が、サービスやテクノロジーの進化に追い付かなくなってしまったため、改正が迫られたのです。

EUでも、同様に個人情報保護の枠組みとして、1995年には「EUデータ保護指令」が作られましたが、20年以上が経過してしまっているため、現在のサービスやテクノロジーの進化に適用できなくなってしまっていたのです。

• サービスのグローバル化
• クラウドサービスの発展
• ビッグデータの活用
  ・・・

多くのテクノロジーの進化に合わせて、個人情報の重要性と漏洩リスクが日増しに拡大していったのです。

記憶に新しいところで言えば

「EUデータ保護指令」と「一般データ保護規制 (GDPR)」の大きな違いとは？

規制のレベルが違う

• 「EUデータ保護指令」：指令（Directive）
• 「一般データ保護規制 (GDPR)」：規則（Regulation）

という違いがあります。

• 「EUデータ保護指令」：指令（Directive）　→　各国が独自の法規制ができる
• 「一般データ保護規制 (GDPR)」：規則（Regulation）　→　共通の方規則として適用される

のです。

そのため、今回の「一般データ保護規制 (GDPR)」の施行で

加盟各国のデータ保護法は廃止する

形となっています。※一定の事項（雇用、ジャーナリズム、研究等）については加盟国が個別のルールを立法することができます。

範囲が違う

「EUデータ保護指令」と「一般データ保護規制 (GDPR)」の方が適用範囲が広がっています。

EU内に事業拠点がなくても適用される「域外移転」を厳しく規制しています。

EEA（欧州経済領域：European Economic Area：EEA2）域内でビジネスを行い、個人データを取得する中小・零細企業を含む日本企業や日本の公的機関に対しても、幅広く適用され、GDPRの規定では、企業や公的機関がGDPRへのコンプライアンス対応を怠れば、原則として GDPR違反となってしまうのです。

罰則が違う

制裁金が「EUデータ保護指令」とよりも高額になっています。

例：

「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」

• 企業の全世界年間売上高の2％以下、または1000万ユーロ以下のいずれか高い方が適用される

「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」

• 企業の全世界年間売上高の4％以下、または2000万ユーロ以下のいずれか高い方が適用される

「一般データ保護規制 (GDPR)」の概要

適用対象

GDPRは、EEA域内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するときに満たすべき法的要件を規定しています。

個人データ

• 氏名
• 識別番号
• 所在地データ
• メールアドレス
• オンライン識別子(IP アドレス、クッキー識別子)
• 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要素

処理

• クレジットカード情報の保存
• メールアドレスの収集
• 顧客の連絡先詳細の変更
• 顧客の氏名の開示
• 上司の従業員業務評価の閲覧
• データ主体のオンライン識別子の削除
• 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

移転

EEA（欧州経済領域：European Economic Area：EEA2）域内

• アイスランド
• リヒテンシュタイン
• ノルウェー
• オーストリア
• ベルギー
• ブルガリア
• キプロス
• チェコ
• デンマーク
• エストニア
• フィンランド
• フランス
• ドイツ
• ギリシャ
• ハンガリー
• アイルランド
• イタリア
• ラトビア
• リトアニア
• ルクセンブルク
• マルタ
• オランダ
• ポーランド
• ポルトガル
• ルーマニア
• スロバキア
• スロベニア
• スペイン
• スウェーデン
• イギリス

保護対象となる「個人データ」の範囲

• 短期出張や短期旅行でEEA域内に所在する日本人の個人データ
• 日本企業からEEA域内に出向した従業員の情報

なども対象となり、

EEA域内に一旦、個人データが送付されると、一旦でもEUの基準に沿ってEEA域内において処理されなければならないのです。さらに当該個人データを日本へ移転する場合にも、EUの基準を遵守する必要があります。

GDPRは、管理者または処理者がEEA域外で設立されたものである場合であっても、

• EEAのデータ主体に対して商品またはサービスを提供する場合
• EEAのデータ主体の行動を監視する場合

は適用されます。

例えば、日本本社のウェブサイトで EEA所在者に対して商品を販売する場合は、GDPRが直接適用されます。

保護対象となる「拠点」の範囲

拠点

• 日本企業の子会社がEEA域内にある　→　拠点がある
• 日本企業の支店がEEA域内にある　→　拠点がある
• 日本企業の業務を行う駐在員がEEA域内にいる　→　拠点がある

ということになります。

つまり、EEA域内に1人でも、お客様がいる日本企業でも、「一般データ保護規制 (GDPR)」の対象になってしまうということなのです。

• EUに子会社、支店、営業所を有している日本企業
• 日本からEUに商品やサービスを提供している日本企業
• EUから個人データの処理について委託を受けている日本企業

は、「一般データ保護規制 (GDPR)」の対象になることに注意が必要です。

規制内容

管理者または処理者は、以下の「適法な処理の要件」を満たした場合にのみ、処理を行うことできます。

海外FX業者から「同意」のメールが届くのは、「個人データの収集および利用目的について、有効な同意が明示的に行われなければならない」に該当するからなのです。

個人データの移転の法的要件

EEA域内からEEA域外への個人データの移転は原則として違法

移転先の国・地域に「十分性」（法整備などに基づき、十分に個人データ保護を講じていること）が認められた場合、または適切な保護措置を取った場合などには、例外的に適法とります。

例えば、日本は、欧州委員会によって適切な個人情報保護制度を有していると認められていないため、日本国への個人情報Jの移転をする場合は

• 本人同意を得る
• 標準契約条項（Standard Contractual Clauses: SCC）
• 拘束的企業準則（Binding CorporateRules: BCR）

いずれかの対応によって、データ移転規制を遵守する必要があります。

制裁金

GDPR違反の場合の制裁金は下記の2種類があります。

1. 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2％のいずれか高い方
2. 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4％のいずれか高い方

1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2％のいずれか高い方の制裁金が課される例

• 16歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(第8条)
• GDPR要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第25条、第28条)
• EU代理人を選任する義務を怠った場合(第27条)
• 責任に基づいて処理行為の記録を保持しない場合(第30条)
• 監督機関に協力しない場合(第31条)
• リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第32条)
• セキュリティ違反を監督機関に通知する義務を怠った場合(第33条)
• データ主体に通知しなかった場合(第34条)
• 影響評価を行なわなかった場合(第35条)
• 影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合(第36条)
  データ保護責任者（DPO）*を選任しなかった場合、または、その職や役務を尊重しなかった場合(第37～39条)

2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4％のいずれか高い方の制裁金が課される例

• 個人データの処理に関する原則を遵守しなかった場合(第5条)
• 適法に個人データを処理しなかった場合(第6条)
• 同意の条件を遵守しなかった場合(第7条)
• 特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
• データ主体の権利およびその行使の手順を尊重しなかった場合(第12-22条)
• 個人データの移転の条件に従わなかった場合(第44-49条)
• 監督機関の命令に従わなかった場合(第58条(1)および(2))

海外FX業者と「一般データ保護規制 (GDPR)」の関係

海外FX業者の多くは

• イギリス
• キプロス
• マルタ
  ・・・

等のEEA域内に

• 本社がある
• 支店がある

というケースがほとんどです。

当然、「一般データ保護規制 (GDPR)」の適用対象となります。

また、上記に該当しない場合でも

欧州向けにサービス提供をしているため

• EEA域内に顧客がいる

のですから、ここでも、「一般データ保護規制 (GDPR)」の適用対象となります。

XMからのメール

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

XMからの非常に重要なメッセージ
大切なお客様、

お客様のXMでの取引経験の向上にお役立ていただけますよう、弊社では お客様に弊社のプロモーションやオファー、取引の利点、ニュース、イベント、その他の学習教材に関する最新情報を、今後も継続してご案内申し上げたく存じます。

既にご存知の方もいらっしゃるかと存じますが、2018年5月25日より一般データ保護規制 (GDPR) と呼ばれるEUの規制が施行されます。

お客様には弊社のEメールの受け取りをご同意いただいていますが、まもなく施行されるこれらの規制強化に伴い、弊社ではお客様にご同意の意思表明をしていただくことが法的に義務化されました。こちらの意思表明をいただきませんと、2018年5月25日以降はマーケティング関連のご連絡を一切送信できなくなります。この意思表明操作は以下のボタンをクリックいただきましたら数秒で完了します。また、こちらはXMから送付される全Eメールに含まれる「登録の解除」をクリックしていただくことにより、いつでも配信を停止することができます。

お客様は以下のボタンをクリックすることにより、XMがお客様に受け取りをご同意いただきましたマーケティング資料やその他の連絡事項を提供するために個人情報保護方針に基づきお客様の個人データを収集・利用する可能性があることに同意します。

意思表明を行うには -> こちらをクリックしてください。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

XMは、キプロスに本社がある海外FX業者で、世界展開しているため、当然「一般データ保護規制 (GDPR)」の対象となります。

そのため、個人情報を使うことに対する「同意」を「意思表明」という形で求めてきているのです。

実際にXMの「一般データ保護規制 (GDPR)」の同意をすすめてみると・・・

とくに難しいものはありません。

XMからのメールを見る限りは・・・

と言っているだけですので「サービスが提供できなくなるわけではない」と現状では解釈しているようです。

しかし、当然、口座に登録する場合には個人情報が必要になるのですが、XMは登録時に個人情報の同意を取っているので、そこは問題ないということだと考えられます。

今後も、海外FX業者から、「一般データ保護規制 (GDPR)」の同意の依頼が増えるかもしれませんが、難しく考える必要はありませんので、同意をする手続きを踏みましょう。