GDPRの執行状況とEDPBの活動状況
—GDPRの施行から5年の軌跡

Ⅰ　はじめに

欧州一般データ保護規則（GDPR）が2018年5月に施行されてから、2023年で5周年という節目を迎えた。従前から欧州ではEU基本権憲章において個人情報・プライバシーが基本的人権として位置付けられ、1995年に制定されたEUデータ保護指令が、それを具体化する各加盟国における国内法とともに重要な役割を担ってきた。しかし、2016年にGDPRがEU域内における統一的なルールとして制定され、厳格な要求事項、広い域外適用、高額な制裁金といった条文を含み、直接的に加盟国への拘束力を有する規則として位置付けられたことは、日本を含む全世界の事業者に大きな影響を与えた。¶001

それ以来、GDPRの内容や影響をめぐる評価は様々に分かれるものの、いわゆる「ブリュッセル効果」を顕著に発揮し、現在では良くも悪くもグローバルなデータ保護のスタンダードとしての地位をほぼ確立したこと自体は間違いない。なお、2020年には英国がEUから離脱したが、離脱に伴い英国版GDPR（UK GDPR）を採択したため、少なくとも現時点では英国におけるデータ保護法制はGDPRと共通する部分が多い。¶002

日本の事業者も含め、グローバルに事業展開しようとすれば、まずはGDPRの要求水準を念頭に置きつつデータ保護体制を整備することも多く、欧州以外の各国法コンプライアンスを実装する際にもGDPRとの差分を抽出して比較するアプローチが有用とされる。また、欧州以外の各国における立法活動（新たなデータ保護法の制定や、既存のデータ保護法の改正）はここ数年極めて活発であるが、それらとの関係でも、GDPRの規律は大きな影響を及ぼしてきた。日本法との関係でも、欧州との間の十分性認定やそれに伴う補完的ルールの制定、近時の個人情報保護法改正に至る議論など、GDPRの影響を受けてきた要素は少なくない。¶003

本稿では、そのようなGDPRの5年間の歩みを、当局の主な執行事例その他の活動状況を手掛かりとして振り返ってみたい。なお、GDPRの重要な論点のうちの一つである越境移転については本特集の別論稿のテーマとなっていることから、本稿では基本的に割愛する。¶004

Ⅱ　GDPRの執行状況

GDPR違反に対するデータ保護監督機関の執行としては、各種調査権限や是正権限（警告、懲戒、遵守命令、取扱い禁止等）の行使（58条）に加え、制定当初から高い注目を集めてきた高額な行政制裁金の賦課という選択肢がある。制裁金の上限は、違反行為の類型に応じて①1000万ユーロ又は直前会計年度における全世界の売上総額の2％、又は②2000万ユーロ又は直前会計年度における全世界の売上総額の4％とされ、具体的には違反行為の性質等、影響を受けた個人の数及びその被った損害の程度、故意又は過失、損害軽減措置、過去の違反等の様々な要素を加味した上で、効果的、比例的かつ抑止力を確保するように算定される（83条）。¶005

1　主な制裁金の事例と傾向

制裁金についての実際の運用をみると、2018年の施行当初こそ謙抑的であったが、2019年1月にフランスでGoogle LLCに対する5000万ユーロという高額な制裁金事例が登場し、その後も特に2021年以降は件数、金額ともに加速度的に増加傾向にある。公表事例ベースであるが、制裁金の総額が2021年7月には10億ユーロ、2022年9月には20億ユーロ、2023年6月には一気に40億ユーロの大台をそれぞれ突破したほか、件数としても2022年2月には1000件に達し、現時点（2023年11月）では2000件近くに達している^1）公表事例に基づく統計資料としては、以下のウェブサイトなどが参考になる。CMS, GDPR Enforcement Tracker（https://www.enforcementtracker.com/）．。¶006

表で整理した上位10件の高額制裁金事例の一覧をみると、事業者としては特に米国などの巨大IT企業（Metaの関係会社が6件、Googleの関係会社が2件、Amazonの関係会社が1件）が突出しており、国としてもIT企業の欧州拠点が多く存在するアイルランドなどが目立つ。しかし、これはあくまで氷山の一角にすぎず、上述の件数からも明らかなとおり、実際には中小企業やテクノロジー分野以外の事業者に対しても多数の制裁金事例が存在する。国別にみても、金額でいえばアイルランド、ルクセンブルク及びフランスが上位を占めるが、一件でも高額の制裁金事例が生じると合計額が跳ね上がることに影響されている側面も大きいため、一般の事業者からみれば必ずしも参考になる統計ではない。他方、制裁金事例の件数でいえばスペインが突出しており、これにイタリア、ルーマニア、ドイツなどが続くとされる。¶007

表　上位10件の高額制裁金ランキング（2023年11月時点）

制裁金事例における具体的なGDPR違反行為の類型は多岐に亘るが、主なものとしては、①取扱いの法的根拠（例：正当な利益、契約の履行、同意等〔6条〕）が不十分であること、及び②取扱いの基本原則（例：適法性、公正性、透明性、目的の限定、データ最小化、正確性、完全性、機密性、アカウンタビリティ等〔5条〕）の不遵守が上位を占めている。これらに次いで、③情報セキュリティを確保するための技術的・組織的措置の不備や、④データ主体の権利行使への対応の不備、⑤データ主体への情報提供の不備、などが指摘されることも多い。¶008

2　制裁金以外の執行

上記のとおり、GDPRの執行としては高額な制裁金事例に注目しがちであるが、企業の事業運営上のリスクとしては、その他の是正権限行使にも留意する必要がある。例えば、生成AIサービスに対する執行事例として、2023年3月にイタリアの監督機関がOpenAI社に対し、Chat GPTがGDPRに違反するとして、イタリアに所在する利用者の個人データの処理を一時停止することを命じ、その後に同社が対応策を講じた結果、同年4月にイタリアでのサービス再開を認められた事例は全世界で非常に注目された。また、2023年7月にノルウェーの監督機関がMeta Platforms Ireland Limitedに対し、行動ターゲティング広告のための個人データの取扱いがGDPRに違反するとしてこれを3カ月間禁止する緊急暫定措置（66条）を発動し、同年10月にはこれを欧州データ保護会議（EDPB）が支持する緊急決定を発出し、アイルランドの監督機関もEU全域を拘束する同内容の決定を下したという事例も記憶に新しい。このように、自社ビジネスの根幹に関わるサービスの停止を命じられることは、制裁金とは異なる次元での重大な事業上のリスクといえよう。¶009

さらに、データ保護監督機関からの措置に限らず、データ主体や消費者保護団体からの権利行使や訴訟提起についても留意が必要である。関連して、本稿では詳述しないが、EU・米国間の越境移転に関する欧州司法裁判所（CJEU）のいわゆるシュレムスⅡ判決に代表されるように、シュレムス氏の率いるNOYBのようなNPOなど、訴訟提起や苦情申立てに積極的な団体の動向やCJEUの判決内容もしばしば注目を集めている。¶010

3　CJEUによる判決の重要性

上記シュレムスⅡ判決はその典型例であるが、EU加盟国の裁判所は、GDPRを含むEU法の解釈に疑義が生じた場合には、当該争点を欧州司法裁判所（CJEU）に付託し、統一的な判断を求めることができる。そのため、各国の監督機関による決定だけでなく、EUにおける判例法理としてのCJEUの判決の内容や動向を理解しておくことも重要である。¶011

これまでCJEUが判断を下してきた論点は多岐に亘り、GDPR施行後の事例のみならず、その前身であるEUデータ保護指令当時の事例を含め、重要な解釈上の指針となっている判例は少なくない。GDPR施行前の事例としては、EU域外にあるGoogle Inc.（米国法人）の活動がスペインに所在する拠点の活動と関連するものとして域外適用の対象となるかが問題となったGoogle Spain事件（2014年5月13日判決）や、Facebook Irelandによる米国への個人データの域外移転に関連して、当時EUから米国に個人データを移転するための枠組みとして存在していたセーフハーバーの有効性が問題となったシュレムス事件（2015年10月6日判決）のほか、Facebookの「いいね」ボタンを自社通販サイトに設置した小売事業者が共同管理者に該当するかが問題となったFashion ID事件（2019年7月29日判決）などが特に著名である。GDPR施行後の事例についてもCJEUに付託される事案は着実に増加しており、Facebook Irelandによる米国への個人データの域外移転に関連して、プライバシーシールドやSCC（標準契約条項）に基づく移転の有効性が問題となった上記シュレムスⅡ事件（2020年7月16日判決）のほか、2023年に下された判決だけでも、データ保護責任者の解任要件や利益相反の要件が問題となった事案（2023年2月9日判決）、GDPR違反時の損害賠償における「損害」の概念や賠償額の評価が問題となった事案（2023年5月4日判決）、ドイツの競争当局が競争法以外にGDPRを根拠としてデータ利用制限を命じることがその権限の範囲を逸脱するかどうかが問題となった事案（2023年7月4日判決）、GDPR違反時に制裁金を課すための故意・過失の要件等が問題となった事案（2023年12月5日判決）などが注目されている。¶012

4　GDPRに関連するその他の諸規制

前述のとおり、GDPRはEU加盟国に共通して直接適用されるが、一定の項目については各国の国内法により規制を行うことを許容している。その意味で、GDPRの規制をEU加盟国の個別法が補完する関係にあるため、各国法の内容や動向にも依然として注意する必要がある。¶013

そのほか、オンライン活動の追跡のためによく用いられるクッキーの設定やダイレクトマーケティング等には、GDPRのほか、いわゆるePrivacy指令^2）Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector（Directive on privacy and electronic communications）.が適用され、いずれも一部の例外を除き原則としてデータ主体の同意が必要となり、GDPRにより厳格化された同意の有効要件を満たさなければならない。特に欧州ではクッキーをめぐる執行が活発になされており、高額な制裁金事例も散見されるが、ePrivacy指令は、GDPRのような「規則」とは異なり、各加盟国において国内法化が必要な「指令」という位置付けであるため、クッキーをめぐる執行事例では各加盟国の国内法が根拠として挙げられるケースも多い。この点、各国当局間の情報提供や協力、判断の調和等を目指してEDPBが2021年9月にタスクフォースを設置し、2023年1月に報告書^3）Report of the work undertaken by the Cookie Banner Taskforce（https://edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-cookie-banner-taskforce_en）.を公表したことも、実務上参考になる。¶014

なお、ePrivacy指令に関しても、GDPRに触発されて、同指令に代わるEUでの統一的なルールとしての、いわゆるePrivacy規則案が2017年1月に欧州委員会から示され、その後修正が重ねられてきたが、現時点ではその成立に向けた具体的な見通しは立っていない。¶015

Ⅲ　EDPBの活動状況

欧州データ保護会議（EDPB:European Data Protection Board）は、GDPRの一貫性ある適用を確保するために設置された独立機関であり、各加盟国の監督機関の長及び欧州データ保護監察機関（EDPS:European Data Protection Supervisor）から構成される（GDPR 第3節 68条以下）。EDPBの主な任務としては、GDPRの共通理解を促進するためのガイドライン、勧告、ベストプラクティス、意見書等を発行すること、EU域内における個人データ保護と関連する問題につき欧州委員会に対して助言すること、国境を越える案件を中心としてGDPRの一貫性ある適用に貢献すること、各国の監督機関の間での協力や情報交換を促進すること等が挙げられる。¶016

EDPBの全体的な活動概要・傾向や関心事項を把握するためには、毎年公表される年次報告書^4）https://edpb.europa.eu/about-edpb/about-edpb/annual-reports_en（GDPR 71条、EDPB手続規則35条）のほか、2年間ごとの業務計画を記載したワークプログラム^5）https://edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_en（同規則29条）が参考になる。特に、2023年2月14日に策定されたEDPBワークプログラム2023/2024^6）EDPB Work Programme 2023/2024 Adopted on 14 February 2023（https://edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-work-programme-2023-2024_en）.では、EDPB戦略2021-2023^7）EDPB Strategy 2021-2023 Adopted on 15 December 2020（https://edpb.europa.eu/sites/default/files/files/file1/edpb_strategy2021-2023_en.pdf）.（2020年12月15日策定）で示された4つの柱（①ハーモナイゼーションの推進とコンプライアンスの促進、②効果的な執行と各国監督当局間の効率的な協力の支援、③新しいテクノロジーに対する基本的権利のアプローチ、④グローバルな様相）の枠組みに沿って、それぞれの具体的な優先課題が設定されている。¶017

1　ガイドライン等

EDPBは、GDPRにおける様々な論点（例えば、域外適用、処理の法的根拠、管理者・処理者概念、越境移転、データ主体の権利、データ侵害、制裁金の算定、データ保護影響評価〔DPIA:Data Protection Impact Assessment〕、データ保護責任者〔DPO:Data Protection Officer〕等）の解釈に関する文書を積極的に策定し、ウェブサイト^8）https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_enで公表しており、その数は意見募集手続を経て最終化されたガイドラインだけでも数十件に及ぶ。これらはGDPRの解釈についてのEDPBの立場を、具体例も交えて示しており、抽象的な文言の多いGDPRの解釈に関する非常に重要な指針となっている。ガイドライン等としては、EDPBが策定したものに加え、その前身であるEUデータ保護指令に基づく「29条作業部会」（Article 29 Working Party）が策定しており、それを改めてEDPBが承認したものがある。なお、ガイドライン等のうち一部については、個人情報保護委員会が日本語訳を公表しており参考になる^9）個人情報保護委員会「EU（外国制度）」（https://www.ppc.go.jp/enforcement/infoprovision/EU/）。。¶018

2　GDPR 65条及び66条に基づく決定

GDPRに違反する事業者に対して執行を行うのは各加盟国の監督機関である。そして、事業者が複数の加盟国内に拠点を有する場合であっても、主たる拠点の監督機関が国境を越えた処理に関する主監督当局として単一のコミュニケーション窓口となる（ワンストップ・ショップ制度）。他方で、個々の事案におけるGDPRの適正かつ一貫性ある適用を確保するため、GDPR 65条は、各国監督機関の間で決定案についての意見の相違がある場合などに、EDPBが拘束力のある決定を採択することを認めている。¶019

2020年以降、EDPBが65条に基づく拘束力のある決定を採択する事案は増加してきた。例えば、主監督機関が指摘していなかった違反条項をEDPBが追加で認定するケースや、主監督機関の決定案では制裁金の算定が十分でないとEDPBが認定し、それを踏まえて主監督機関が制裁金を増額するケースや、データの取扱いに際してどの法的根拠（契約の履行や同意など）に依拠できるかという論点につき統一的な見解を示すケースなどが代表例であり、EDPBが個別事案でのGDPRの執行との関係でも重要な役割を果たしてきたことが改めて再認識されている。¶020

このほか、各国の監督機関は、緊急の状況下において3カ月を超えない期間での暫定措置を発動する権限を有するところ、当該措置を講じ、かつ確定的な措置を緊急に採択する必要があると判断する場合には、EDPBに緊急の意見又は拘束力ある決定を求めることができる（66条1項・2項）。前述（Ⅱ2）したとおり、2023年7月にノルウェーの監督機関がMeta Platforms Ireland Limitedに対し、行動ターゲティング広告のための個人データの取扱いを3カ月間禁止する緊急暫定措置を発動した後、当該措置の恒久化とEU全域への拡大を求めたため、同年10月にはEDPBが緊急の拘束力ある決定を発出し、アイルランドの主監督機関に対して最終措置を採択するよう指示したのが、その代表例である。¶021

3　協調執行フレームワーク（CEF）の動向

協調執行フレームワーク（CEF:Coordinated Enforcement Framework）とは、上記のEDPB戦略2021-2023で示された2つ目の柱に基づく主要な活動の一つであり、専門家サポートプール（SPE:Support Pool of Experts）と並んで、各国監督当局間の執行協力を効率化することを目的とした取組みである。CEFの具体的な運用としては、EDPBが事前に優先順位を付したトピックに焦点を当て、各国監督当局が年次調査を行い、それを集計・分析した上でEUレベルでのフォローアップ調査が行われることとなっている。第1回目のトピックとしては、2022年に公共部門におけるクラウドベースのサービス利用に関する調査が実施され、2023年1月に報告書^10）2022 Coordinated Enforcement Action Use of cloud-based services by the public sector Adopted on 17 January 2023（https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en）.が採択された。その後、第2回目のトピックとして、2023年にデータ保護責任者（DPO）の指定と地位に関する調査が実施されており、第3回目のトピックとして、2024年に管理者によるアクセス権の実施に関する調査が予定されている。これらはいずれも当局の関心の高いテーマとして、調査が実施される過程でGDPR違反が摘発される可能性もあるほか、調査結果をまとめた報告書からは当局の考え方も読み取れるため、継続的なウォッチが必要となる。¶022

Ⅳ　おわりに

以上で概観してきたとおり、この5年間でGDPRの執行実績や当局による各種ガイダンスが着実に積み重ねられており、欧州以外の各国のデータ保護法制もGDPRの影響を受けて目まぐるしく変容してきた。グローバル・データコンプライアンスを実装する際にGDPRが最も重要な物差しである状況は今後も続くことが予想され、GDPRの制定当初に対応を済ませた事業者であっても、5年間の実務の運用や解釈の集積を踏まえ、改めてコンプライアンス体制を再点検することも有用といえる。¶023

他方で、まだ必ずしも解釈がクリアになっていない論点は少なからず存在するほか、AIやIoTをはじめとする新たなテクノロジーが急速に進展する中で、GDPRの解釈や適用範囲がどのように進化していくのかという点も注目される。また、欧州におけるデータを中心とするデジタル戦略は、GDPRに限らずデータ法（2023年11月に採択）、データ・ガバナンス法（2023年9月に適用開始）、デジタルサービス法（既に一部施行済みだが、2024年2月から全面適用開始）、AI規則案（2023年12月に政治的合意が成立）など多面的な拡がりをみせており、それらの各規律との相互作用からも目が離せないところである。¶024