金融機関に求められるグローバルプライバシー管理 - GDPRの施行を踏まえて
金融機関におけるプライバシー保護に着目し、GDPR(EU一般データ保護規則)への対応を例に挙げ、どのような対応が求められるのかについて論じる。
金融機関におけるプライバシー保護に着目し、GDPR(EU一般データ保護規則)への対応を例に挙げ、どのような対応が求められるのかについて論じる。
1. 施行が相次ぐプライバシー保護関連法制
(1)EUのGDPR施行
プライバシー保護に関する法規制改正の代表例ともいえるEUの「一般データ保護規則(General Data Protection Regulation:GDPR)が、2018年5月25日に施行される予定である。新たな権利概念が規定されるほか、広範な域外適用や違反した場合の制裁の強化(罰金が最大で連結売上高の4%、または2000万ユーロのいずれか高い方)が規定される。
施行を見据えて、2016年3月にイギリスの情報コミッショナーオフィス(Information Commissioner's Office:ICO)がGDPRに対応するための12のステップを公表した※1ほか、2016年9月にベルギーのプライバシー保護委員会がGDPRに対応するための13のステップを公表する※2など、施行に向けた準備が着々と進んでいる。
※1 Guide to the General Data Protection Regulation (GDPR)
Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now
※2 Règlement général sur la protection des données : la Commission vie privée lance un dossier thématique et un plan par étapes
Règlement général sur la protection des données : PRÉPAREZ-VOUS EN 13 ÉTAPES
(2)日本の個人情報保護法改正
改正個人情報保護法は、2017年5月30日に施行される。これにより、全企業が個人情報保護法の対象事業者となるほか、プライバシーデータの第三者提供について規制が厳しくなり、匿名加工情報について新たに規制される。
改正法はEUのGDPRを意識しており、いわゆる「十分性認定」※3を受けることが目的の1つとなっている。
※3 GDPR第45条に規定される、「データ保護のレベルが十分であると欧州委員会が認定すること」を指す。
(3)各国の個人情報関連法の改正
日本の改正個人情報保護法がGDPRを意識しているように、各国の法規制も「十分性認定」を目指して改正が相次いでいる(シンガポール、オーストラリア、韓国の個人情報保護法など)。ただし、いずれもGDPRを意識しているものの、国によってプライバシー保護の状況は異なり、各国の実情に即した法改正が行われている。
2. GDPRの影響と金融機関に求められる対応
GDPRでは、幅広い域外適用とデータの移転に対する規制を定めている。金融機関では従来からプライバシー保護に取り組んできているが、GDPRの域外適用の影響を受ける可能性がある。
(1)GDPRの影響
1)域外適用
域外適用とは、ある国の法律がその領域の外で適用されることを指す。企業にとって域外適用の大きなリスクは、視野に入っていない外国法に基づいて想定外の制裁を受けることであり、適用対象か否かの判断がつかない場合でも予防的な対応をせざるを得ないことである。グローバルにビジネスを展開する企業にとっては、海外の法令にも目配りをし、自社に対する適用可能性の検討を行っておくことが求められる。
GDPRでは、EU域内に所在するプライバシーデータの取扱いを適用対象と定めている。条文では、EU居住者に対してサービスを提供する場合、もしくはEU居住者の行動をモニタリングする場合が規定されているが、EU居住者がEU域外の拠点でサービスを受ける場合等も適用対象となる可能性がある。
2)データの移転
データの移転とは、ある国で保有しているデータをその国の領域外に移送することを指す。GDPRでは、いわゆる「十分性認定」を受けていない国に対して、プライバシーデータを移転することを禁止しており、「十分性認定」を受けていない国の企業はEU域内の拠点が保有するプライバシーデータをEU域外に持ち出すことが制限される。日本は、いまだ欧州委員会より「十分性認定」を受けておらず、そのため、日本企業がEU域内の拠点からEU域外の拠点にデータを移転するためには、標準契約条項(Standard Contractual Clauses:SCC)※4の締結や、拘束的企業準則(Binding Corporate Rules:BCR)※5の策定をはじめとした、GDPRで定める正当化事由を整備する必要がある。
「データの移転」に該当する事象は多岐にわたることが考えられ、正当化事由の整備対象は国内の本社とEU域内拠点にとどまらず、第三国にある拠点も対象となる可能性がある。
※4 GDPR第46条第3項に規定される、管理者または取扱者と第三国もしくは国際機関における管理者、取扱者または個人データの取得者間の契約条項。
※5 GDPR第47条に規定される、事業体グループまたは共同経済活動に従事する事業者のグループに関連したすべてのメンバー(従業者を含む)に適用される、法的拘束力を持つ規則。
(2)金融機関に求められるアプローチ
1)グローバルで統一したプライバシー保護のアプローチ
グローバルにビジネスを展開している金融機関は、プライバシー保護についてもグローバルでの対応が求められ、域外適用の可能性を常に考慮する必要がある。そのため、拠点ごとの個別対応ではなく、グループ全体で一貫した対応が求められる。
2)各国の現地法制への対応
プライバシー保護についてグローバルで一貫した対応が求められるとはいえ、コンプライアンスは現地法への対応が基本である。各国でプライバシー保護法制の改正が進んでいるなか、グローバルでの対応を進めたうえで、拠点ごとに現地法制への対応が求められる。
3. 考えられる金融機関への具体的影響
一般的にGDPRの域外適用の代表例としては、企業の海外拠点従業員の個人情報を本社に移転するケースが挙げられることが多い。金融機関における業務についても、顧客のEU域内外への移動に伴うケース、あるいはシステムのグローバルでの構成やモニタリング等について、GDPRの適用対象となる可能性がある。以下に挙げるケースは、現時点ではGDPRの適用対象とされるか否かを明確に判断することはできないが、いずれにしても法的根拠を明確にし、説明責任を果たせるようにしておくことが求められる。
(1)銀行の場合
1)海外拠点で提供する口座サービス
海外拠点で口座サービスを提供している場合、口座情報を地域ごとの基幹システムや日本国内の勘定系システムで集約管理していることがある。このようなケースでは、口座情報の集約管理がデータのEU域外への移転に該当する可能性がある。
2)海外赴任者へのサービス
海外赴任者への口座サービスの提供を行っている金融機関では、居住者の定義にも左右されるが、EU域内への赴任者がEU居住者に該当する場合、海外赴任者への口座サービスを提供することはEU居住者へのサービス提供に該当する可能性がある。
3)EU籍の人がEU域内に帰国した場合
これは上記海外赴任者とは逆のケースであるが、日本への赴任者が国内で開設した銀行口座を閉鎖しないままEU域内に帰国し、口座サービスを継続して使用する場合、EU居住者へのサービス提供に該当する可能性がある。
4)資金洗浄の監視
資金洗浄の監視はグローバルで求められているが※6、その一方で、拠点ごとの監視に加えて、グループ本社で横串を通した資金洗浄の監視を行っている場合、データの移転およびデータのモニタリングに該当する可能性がある。
※6 日本も加盟しているFATF(金融活動作業部会)で、マネーロンダリング対策やテロ資金対策などにおける国際的な協調指導、協力推進などを行っている。
(2)証券会社の場合
1)外国証券を扱う場合
証券会社は、その特性上、域外適用の対象になるケースは限られる。しかし、EU居住者に対して(EU域内から見て)外国証券に関するサービスを提供する際、当該外国証券のカストディアンに取引当事者(=EU居住者)の情報を提供するケースも想定される。この場合、EU域外へのデータ移転に該当する可能性がある。
2)売買審査・資金洗浄監視
証券の売買管理および資金洗浄の監視はグローバルで求められているが※7、その一方で、拠点ごとの監視に加えてグループ本社で横串を通した売買審査や資金洗浄監視を行っている場合、データの移転およびデータのモニタリングに該当する可能性がある。
※7 売買管理は各国の金融法制で定められているが、日本も加盟している国際証券監督者機構(IOSCO)で売買管理を含む証券監督に関する原則・指針等の国際的なルールの策定等が行われている。
(3)保険会社の場合
1)保険金の支払い
保険金の支払いは世界中で発生することが考えられ、EU居住者の契約した保険金の支払いがEU域外で発生する場合、保険金の支払代理人による情報取得などがデータの移転に該当する可能性がある。
2)空港で契約する海外旅行傷害保険
EU居住者が旅行等で来日し、空港で傷害保険を契約する場合、EU居住者に対するサービス提供に該当する可能性がある。
(4)その他金融の場合
1)海外からの観光客向け仮想通貨サービス
東京オリンピックでは、訪日外国人に対して、仮想通貨を使用したサービスを提供することが想定されている。来日したEU居住者が国内の仮想通貨サービス事業者と契約する場合、EU居住者に対するサービス提供に該当する可能性がある。
4. 今、何をすべきか
GDPRでは新たな概念のプライバシーデータ(忘れられる権利をはじめ、データ・ポータビリティの権利、ダイレクトマーケティングの拒否権、プロファイリングによる判断を受けない権利)も保護の対象とされており、金融機関は自らの事業活動のどこでどのようなプライバシーデータを扱っているのか、改正個人情報保護法やGDPRの定義に基づいて改めて洗い出す必要がある。そのうえで、プライバシーデータの取扱いや、データ移転の有無等について、影響を評価し、GDPRの適用対象か否か確認することが求められる。また、GDPRではプライバシーデータの扱いに説明責任が課されることから、適用対象か否かにかかわらずデータ処理の根拠を明確に説明できるようにしておくべきである。
2018年5月25日のGDPR施行まで、期間は限られている。それまでに対応の要否を明らかにし、GDPRへの対応、ひいてはグローバルプライバシー管理態勢(グローバル企業が保有する個人情報を、拠点各国の法制・コンプライアンス事項を充足させながら、安全に管理・運用する仕組み)※8を構築しておくことが求められる。
執筆者
KPMGコンサルティング株式会社
シニアマネジャー
宮脇 篤史
シニアコンサルタント
関本 勘楠