欧州・日本の個人情報保護法規制の動向から紐解く、日本企業に求められるプライバシーガバナンスとは

2018年の欧州一般データ保護規則（GDPR）施行を契機として、世界的に個人情報保護に関する規制の厳格化が進み、企業に求められる対応の負担も増加しています。こうした状況のなか、日本企業はこれらの規制にどのように向き合い、対応すべきなのでしょうか。

本稿では、グローバルでの規制動向を踏まえ、日本企業が個人情報を適切に取り扱うためのリスク管理のあり方、そして今後求められるプライバシーガバナンスについて掘り下げていきます。西村あさひ法律事務所・外国法共同事業 パートナー／フランクフルト＆デュッセルドルフ事務所 共同代表を務める石川智也氏と、個人情報保護委員会 事務局審議官の小川久仁子氏をお招きし、PwC Japan有限責任監査法人 パートナーの平岩久人とともに、変化する法規制環境における実践的な対応の方向性を伺いました。

登壇者

西村あさひ法律事務所・外国法共同事業
パートナー／フランクフルト＆デュッセルドルフ事務所共同代表
石川 智也氏

個人情報保護委員会
事務局審議官
小川 久仁子氏

PwC Japan有限責任監査法人
パートナー
平岩 久人

モデレータ
PwCコンサルティング合同会社
シニアマネージャー
高澤 真理

欧州におけるGDPR対応の実態と課題

高澤：
最初に石川先生に欧州の状況についてお伺いします。2018年5月にGDPRが施行されてから約7年が経過し、日系企業の制裁事例も散見されるようになりました。欧州にいらっしゃる石川先生の目から見て、欧州でビジネスを展開している企業にはどのようなリスクがあるとお考えですか。

石川氏：
GDPRのリスクと聞くと「巨額の制裁金が巨大テック企業に課される」というイメージが強いかもしれません。しかし、実際には巨大テック企業だけでなく、B2CもB2Bも含めたさまざまな規模の企業に制裁金や不服申し立てが行われています。ですから、現地拠点では着実なGDPR対応が必要であり、本社はプライバシーガバナンスの一環としてグローバル各社の対応を注視する必要があります。

2018年のGDPR施行から約7年が経過し、新たなガイドラインが出ている他、各社ではコロナ禍でのDX施策の推進などを経てデータ処理の内容にも変更があるため、アップデートは不可欠です。

例えば、データの越境移転では標準契約条項（SCC）が改訂され、英国はブレグジットに伴い契約内容も変更されました。最近では、IGDTA（Intra-Group Data Transfer Agreement）を活用し、各国のデータ移転条項を一括管理する方法が普及しています。また、移転先国のガバメントアクセスリスクを評価し、リスク低減対策を講じることが標準的な実務となっています。さらに、体制面ではシステム導入やクラウド利用、ベンダー変更などに伴うデータ処理の変化に断続的に対応できる体制が必要です。データ処理の適法性根拠は、特に「正当な利益の評価」が厳格化されていることから、データ主体の利益と会社の利益の比較衡量を適切に行い、記録として残す必要があります。ベンダーとの間で締結するデータ処理契約もGDPRの条文の規定を単に転記するだけでなく、技術的・組織的措置の具体化や再委託先の明記が求められるようになってきています。さらに現地拠点でのデータ漏洩対策の強化や、製造事業者では「NIS2指令」のようなサイバーセキュリティに関する法令に基づく当局報告の必要性も確認すべきです。

プライバシーガバナンスの国際的動向と実務対応

高澤：
継続的にGDPR対応を推進している企業は、どのようなポイントに留意して取り組んでいるのでしょうか。

石川氏：
データの越境移転に関する規制は、引き続き注目度が高いと言えます。これは個人データに限らず、技術情報を含む広範なデータの流通が、経済安全保障リスクとも密接に関係しており、これらを踏まえたデータガバナンスの構築が重要になっています。経済産業省が2025年1月に公表した「産業データの重要データ管理等に関するマニュアル」も、この流れを反映したものです。

プライバシーガバナンスについては、もはやGDPR単体ではなく、グローバル全体のデータ保護法への対応が主軸になっています。データ保護の基本原則には共通部分も多く、グローバルで標準化できる領域もありますが、実務的な文書化は各国別に行う必要があります。そのため、日本の個人情報保護法やGDPRを参照しつつ、共通原則をグローバルに定めた上で、各国固有のルールや例外は個別に評価するというアプローチが効果的です。また、特に従業員データの取り扱いは、実務で見落とされがちなリスク領域であり、慎重な対応が求められます。

一方で本社が果たすべき重要な役割は、定めたグローバルでの共通原則が各国で確実に実行されているかをモニタリングすることです。もちろん、国ごとの文書化対応は避けられませんが、そのような国別の文書をある程度束ねて管理する仕組みも進化していますから、そうした仕組みを効率的に活用すべきでしょう。

加えて、多くの日系企業がグローバル対応のプライバシーポリシーを導入し始めている他、上述のIGDTAのようなグローバルでのデータ移転契約の一括締結の仕組みや、データ処理契約、マーケティング対応のグローバル実施にも関心が高まっています。さらに、データ主体による権利行使やサイバー攻撃への対応も重要な課題です。特にサイバー攻撃対応は時間的制約が厳しい中、GDPR下では加盟国ごとに報告方法や使用言語が異なるため、事前の体制整備が不可欠です。

そして、最近では「生成AIの利用」に関する対応も新たな課題となっています。多くの日系企業は、生成AIの登場時に「プロンプトに個人情報を入力しない」といった初期的なガイドラインを設けました。しかし、例えば会議の議事録作成や要約業務で生成AIを活用しようとしたとき、そうしたガイドラインでは実務に支障が出る場面もあります。また、生成AIが個人情報を含む社内文書にアクセスする機能を有する場合には、プロンプトへの個人情報の入力を制限しても、生成AIへの個人情報の入力が回避できるわけでもありません。そのため、個人情報保護を確保しながらも、現実の業務に即したガイドラインへと更新する必要があります。

社内で使用される生成AI機能についても、GDPRとの整合性を取る上で多くの検討事項があります。生成AIを導入している拠点がGDPRの適用国にある場合は、特に注意が必要です。AIのような新技術がデータ保護法に新たな論点をもたらすこともありますが、こうした局面ではGDPRで言えば「第5条の基本原則」のような法令の基本原則に立ち返り、リスクを可及的に低減するための影響評価を実施し、適切な対応を検討する姿勢が重要です。

高澤：
石川先生は日本の本社側とも欧州の現地法人側ともやり取りされているかと思います。両者のGDPR対応に温度差を感じることはありますか。

石川氏：
はい、日本と欧州ではGDPR対応の捉え方に大きな違いがあると感じます。日本側は「ドキュメントを整えれば対応完了」と考える傾向があり、また、越境移転規制への対応と制裁金リスクの回避を重視します。一方、欧州側では実質的な運用対応が非常に重視されており、GDPRの基本原則に適合しているかが厳しく問われます。例えば欧州から日本に従業員データを共有する場合でも、日本側では十分性認定があるのでデータ移転は可能である、という越境移転規制のみの検討で終わってしまいがちですが、欧州では、データ最小化原則との関係で、「本当にその移転が必要なのか」「目的との関係で共有するデータの種類は最小限に抑えられているか」「アクセスする者は最小限か、そのアクセス権を定めるポリシーはあるか」「目的との関係で保管期間は最小限か、保管期間を定めるポリシーはあるか」といった点が厳しく見られます。それゆえ、現状では従業員のデータ共有が難しいと考える欧州側と、十分性認定があるためにデータ移転はできると考える本社側とで、議論がかみ合わないこともしばしばあります。

また、従業員データ処理のための適法性根拠の検討も重要です。日本では従業員から同意が取れれば問題ないとされがちですが、欧州では従業員の同意は通常、有効とはみなされません。さらに、グローバルシステム導入時に求められるデータ保護影響評価（DPIA）や移転影響評価（TIA）も、日本側ではあまり経験がないこともあってか、省略したいという意識が働きやすい印象ですが、通常は省略できません。

GDPRにおけるリスクは制裁金だけではありません。訴訟やデータ主体による権利行使といったリスクもあります。特に従業員データは、その性質上、企業にとって訴訟や権利行使のリスクが高く、B2Bのビジネスの事業者であってもそのリスクは無視できません。このような個別のリスク要因に加え、データ処理の複雑化が進む今、グローバル対応はますます高度化しています。こうした前提を踏まえた上で、企業としての対策を講じていく必要があると感じています。

日本の個人情報保護法制の動向と検討課題

高澤：
次に、日本の状況について小川審議官にお伺いします。グローバルでの規制強化や社会的な変化を受けて、日本でも個人情報保護法の3年ごとの見直しが進められています。現在の検討状況について教えていただけますか。

小川氏：
まず、個人情報保護法は、「個人情報の保護」と「個人情報の有用性への配慮」を両立させ、個人の権利利益を守ることを目的としています。2015年の改正では、データの利活用が産業の発展や豊かな社会の実現につながるものであるという視点も盛り込まれました。

この法律は2003年に制定され、しばらく大きな改正はありませんでしたが、2015年の改正で個人情報保護委員会が設置され、民間部門の規制の一元化が図られました。その後、3年ごとの見直しが制度化され、2020年には初回の見直し、2021年には官民のルールが一本化されています。そして現在、2回目となる見直しのプロセスが進んでいます。

越境移転に関しては、2019年に日本がEUからGDPRに基づく「十分性認定」を取得しており、これにより、日本企業はEUから個人データを受け取ろうとする際に追加的措置が不要となりました。これはDFFT（信頼性のある自由なデータ流通）の実現の面でも大きな意味を持っています。

2023年からは現在進行中の見直しに向けた検討が本格化しており、2024年6月に「中間整理」、10月に「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」、そして2025年1月には「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について」が公表されています。

「中間整理」では、①個人の権利利益のより実質的な保護の在り方、②実効性ある監視監督の在り方、③データ利活用に向けた取組に対する支援等の在り方という三本柱に沿って論点が整理されました。パブリックコメントでは、AIを含むデータ利活用に関して特に多くの意見が寄せられた他、子供の個人情報、生体データ、不適正利用、漏えい等報告、課徴金制度等についても多くの意見をいただきました。

2024年9月に公表された「今後の検討の進め方」では、①課徴金制度や団体による差止請求制度・被害回復制度などは検討会で議論、②その他の主要個別論点は委員会で透明性が高い形で議論、③個人情報保護政策全般に関わるテーマも引き続き議論を行っていくという方向性が示されています。

これらの議論を進めるため、個人情報保護政策が踏まえるべき基本的事項について2024年11月～12月に有識者や経済団体・消費者団体から多くの意見を伺い、①個人情報保護法の保護法益、②本人の関与、③ガバナンス、④官民連携によるデータ利活用の4つの視点が整理されました。

検討会においては、課徴金制度の導入についても議論されています。諸外国では制裁金制度が一般的ですが、日本には現状導入されていません。重大な違反行為に限定する形での導入を検討してはどうか、という意見もあり、今後も継続して議論が行われる予定です。

高澤：
ありがとうございます。制度整備の議論が進んでいることがよく理解できました。では、短期的にはどのような具体的な論点が検討されているのでしょうか。詳しくご説明いただけますか。

小川氏：
2025年1月に公表された「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について」では、これまでの議論を踏まえ、短期的に優先して検討すべきものとして新たな論点が追加されています。主に以下の3つです。

1. 同意規制の在り方
   複数の者が持つデータを共有し横断的に解析するニーズが高まっていること等も踏まえ、統計情報等の作成（統計作成等と整理できるAI開発等を含む）のみに利用されることが担保されている場合に、個人データ等を本人の同意なしに第三者提供できる場面等について提案しています。また、契約履行等のための個人データ利用や、生命等の保護・公衆衛生の向上等のための場面における同意要件の見直しも検討対象として提案しています。
2. 漏えい等発生時の対応の在り方
   例えば社内用IDのようにそれ単体では個人の権利利益への影響が小さいケースについては、漏えい等発生時にリスクベースで本人通知を行わなくても済む場合を設ける等の制度の柔軟化を提案しています。
3. 個人データの適正な取扱いに係る義務を負うべき者の在り方
   個人データの取扱いが多様化する中で、委託先の役割が重要になることから実態を踏まえて安全管理措置等の義務を明確化するなど、実効性あるデータ保護のために必要な整理の検討を提案しています。

これらの追加論点と中間整理の内容とを合わせ、大きく3つの柱に論点を再構成した上で、多様なステークホルダーのご意見を伺いつつ検討を進めている段階です。

高澤：
事務局ヒアリングなどでより広い観点からの議論も開始しているのですね。では中期的な制度の方向性について、可能な範囲でお聞かせいただけますか。

小川氏：
2025年1月に公表した「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について」では、今後中長期的に考慮すべき方向性として、以下の6つの視点が示されています。

1. デジタル化に対応した個人情報取扱事業者のガバナンスの向上
   適切なデータ利活用を推進できる体制整備
2. 個人・消費者と事業者との信頼（トラスト）の醸成・向上
3. 官民を通じたデータ利活用の推進、適切な企業・組織間連携
4. 民間の自主的取組へのインセンティブ、認定個人情報保護団体に関する取組
5. 本人関与の在り方という観点からの更なる整理
6. 保護法益に応じた個人情報・個人データの範囲や規律の対象となる行為

これらは、今後の社会変化や技術進展を見据えた上で、関係団体や専門家の意見を取り入れながら継続的に検討していくことになります。

また、サイバーセキュリティ対策についても重要性が増しています。ランサムウェアをはじめとした攻撃が巧妙化・複雑化している現状を踏まえ、内閣官房サイバーセキュリティセンター（NISC）、独立行政法人 情報処理推進機構（IPA）、一般社団法人 JPCERTコーディネーションセンター（JPCERT／CC）などの関係機関と連携し、対応体制を強化する取組が進められています。なおSociety 5.0（超スマート社会）の実現に向けては、人間中心で安心・安全なデータ利活用の仕組みづくりが不可欠です。そのためには、信頼のあるデータ環境の構築と、官民の連携による継続的な取組が重要だと考えています。

企業に求められる個人情報保護への実務的アプローチとは

高澤：
続いて平岩さんに伺います。ここまでのお話を踏まえて、日本企業はどのような対策を講じるべきだとお考えでしょうか。

平岩：
対策としては、大きく2つあると考えています。

1つ目は、外部環境や技術の変化に柔軟に対応できる体制の構築です。個人情報保護に係る法改正やガイドラインの更新、生成AIをはじめとする新技術の普及に加え、多くの企業が個人データを活用した新規事業に取り組んでいます。こうした変化に応じて、リスクを的確に識別し、迅速に対応できる体制づくりが不可欠です。

2つ目は、リスク評価に外部の視点を取り入れることです。新規サービスの立ち上げ時などには一般に社内でリスク評価が行われますが、これに加えてその事業における個人データの活用に関する消費者や社会の視点や受け止め方を反映することが重要です。近年では、外部の有識者の意見を聞くアドバイザリーボードを設ける企業も増えており、こうした取組とその結果を開示・共有することは、消費者や社会との信頼の構築や醸成につながる重要なポイントだと思います。

高澤：
個人情報に関するリスクは日々変化していますが、特に最近顕在化している課題はありますか？

平岩：
やはり生成AIの影響は無視できません。G7では包括的な国際ルールの合意もなされるなど、生成AIを規律する議論やその整備が急速に進んでいます。

高澤：
その点について、石川先生にお伺いします。生成AIをめぐる欧州でのリスク対応や議論の状況はどのようになっていますか。また、日本企業が生成AIを積極的に活用していく上での示唆があれば、併せてお願いします。

石川氏：
生成AIの導入に際してプライバシーポリシーを作成したり、同意を取得したりすることにフォーカスがなされがちですが、それよりも重要なのはGDPRの基本原則に適合するデータ処理ができているか、です。そのためには影響評価を実施し、GDPRコンプライアンスを丁寧に検討する必要があります。

ただし、AIについては新たな論点も出てきています。例えば、ウェブスクレイピング（※）が「正当な利益」で正当化できるかという点です。欧州では一部の国で、国内領域におけるスクレイピングを原則違法とする動きもみられました。

また、通常の個人データであれば「正当な利益」を根拠とする処理が可能な場合もありますが、センシティブデータの場合には「正当な利益」を根拠にデータ処理を行うことはできません。GDPR第9条2項に基づく他の適法根拠が必要となりますが、該当する要件は限られており、今後の法整備や技術的対応のあり方が議論されています。

^{※ ウェブスクレイピング（Web Scraping）…ウェブサイト上の情報を自動的に取得・抽出する技術や手法}

高澤：
小川審議官にお伺いします。生成AIに関して、個人情報保護委員会としてはどのような取組を進めているのでしょうか。

小川氏：
新しい技術のリスクと性質を正確に理解した上で、適切な対策を講じることが重要です。生成AIをはじめとする技術の進展は、リスクだけでなく、プライバシー保護技術（PETs）のような新たな解決策も生み出します。私たちが令和5年6月に示した「生成 AI サービスの利用に関する注意喚起等について」で強調しているのは、「技術を恐れるのではなく、理解して賢く使ってほしい」というメッセージです。実際、教育現場などさまざまな分野で活用が進んでいます。

また、2025年1月に公表した「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について」では、統計作成等であると整理できるAI開発等に関して、同意不要で情報収集できる可能性について政策提言を行っています。このような議論も引き続き進めていきます。

高澤：
生成AIに限らず、技術の進展により個人情報リスクは常に変化します。重要なのは、未知のリスクに対応できる体制を整え、多様な視点で継続的に取り組むことですね。本日はありがとうございました。