データ共有は現代の商取引の生命線です。新しいクラウドプロバイダーの導入、マーケティングエージェンシーとの連携、サードパーティの人事システムとの統合など、個人データは組織間で絶えずやり取りされています。しかし、ここに不都合な真実があります。ほとんどの企業は、一般データ保護規則（GDPR）に基づくデータ共有がもたらす法的な危険を過小評価しているのです。

リスクは現実です。罰金は20万ユーロまたは世界年間売上高の4%のいずれか高い方に達する可能性があります。金銭的な罰則に加え、評判の失墜、規制当局による調査、そして影響を受けた個人からの民事責任請求のリスクもあります。オランダデータ保護局（Autoriteit Persoonsgegevens、略称AP）は、無知は言い訳にならないことを明確にしています。

この記事では、個人データの共有時に生じる7つの重大なGDPRリスクについて解説します。各リスクはGDPRの具体的な規定に基づき、実際の影響を例に挙げ、コンプライアンス遵守に役立つ実践的なガイダンスを提供します。オランダで事業を展開する経営者、コンプライアンス担当者、法律専門家にとって、これらの落とし穴を理解することは不可欠です。

1. 正当な法的根拠のないデータの共有（GDPR第6条）

リスク: 便利だ、あるいは有益だからといって、個人データを共有することはできません。データ共有を行う際には、GDPR第6条に基づく有効な法的根拠が必要です。

企業が間違える理由: 多くの組織は、データを共有する商業上の理由があれば十分だと考えていますが、それは間違いです。GDPRは、データ処理の法的根拠として、同意、契約上の必要性、法的義務、重要な利益、公的任務、正当な利益の6つを定めています。それぞれに固有の要件と制限があります。

例えば、「正当な利益」は、パートナーやサービスプロバイダーとのデータ共有を正当化する際にしばしば用いられます。しかし、この根拠には慎重なバランステストが必要です。つまり、あなたの利益が、処理対象となるデータの所有者である個人の権利と自由を優先してはなりません。そして、この評価を文書化する必要があります。

法的根拠: GDPR第6条は、法的根拠の包括的なリストを定めています。GDPR第5条(1)(a)は、すべての処理が合法、公正、かつ透明であることを義務付けています。

現実世界への影響: APは、適切な法的根拠なしにマーケティング目的で顧客データを第三者と共有した組織に罰金を科しました。データが匿名化または集約されていたとしても、再識別が可能であれば、それは個人データであり、法的根拠が必要です。

実用的なポイント: 個人データを共有する前に、適用される法的根拠を特定し、文書化してください。正当な利益を根拠とする場合は、正当な利益評価（LIA）を実施し、記録してください。同意を得る場合は、同意が自由意志に基づき、具体的かつ十分な情報に基づいた、明確なものであることを確認してください。

2. 役割の混乱：管理者と処理者（GDPR第4条(7)～(8)）

リスク: GDPRは、データ処理の目的と手段を決定する管理者と、管理者に代わってデータを処理する処理者を区別しています。ご自身の役割、あるいはパートナーの役割を誤認すると、深刻なコンプライアンス上の欠陥が生じます。

企業が間違える理由: 実際には、役割は曖昧になることがあります。SaaSプロバイダーとデータを共有する場合、彼らは管理者でしょうか、それとも処理者でしょうか？もし彼らがあなたのデータをアルゴリズムの改善に利用したらどうなるでしょうか？多くの企業は、関係性を適切に分析することなく、すべてのベンダーを「処理者」と呼んでいます。

管理者と処理者の義務が異なるため、誤分類は重要です。管理者は、処理者が十分なコンプライアンス保証を提供することを保証しなければなりません（GDPR第28条）。共同管理者は、それぞれの責任について合意する必要があります（GDPR第26条）。誤分類を行うと、発生に気付いていない違反についても責任を問われる可能性があります。

法的根拠: GDPR第4条(7)および(8)では、「管理者」および「処理者」が定義されています。GDPR第24条では、管理者の説明責任義務について概説しています。

現実世界への影響: 欧州司法裁判所は、 ファッションID (C-40/17) 目的の一部を特定した場合でも、共同管理者となる可能性があります。つまり、GDPR違反が他者によって引き起こされた場合でも、共同で責任を負う可能性があります。

実用的なポイント: データフローをマップし、誰が決定するかを決定する 現在も将来も、 and の データが処理される。これを文書化し、各関係者が自らの役割と義務を理解していることを確認する。

3. データ処理契約の不備または不十分さ（GDPR第28条）

リスク: 個人データの取り扱いを委託する処理業者に個人データ処理を委託する場合、書面によるデータ処理契約（DPA）を締結することが法的に義務付けられています。例外はありません。

企業が間違える理由: 特に信頼できるパートナーや長年のパートナーとの関係においては、書類手続きを省略したくなるものです。しかし、コンプライアンスに準拠したDPAがなければ、たとえ実際の損害が発生していなくても、初日からGDPR第28条に違反することになります。

適切なDPAには、処理の対象と期間、処理の性質と目的、個人データの種類、データ主体のカテゴリー、管理者の義務と権利といった具体的な必須条項が含まれている必要があります。また、再処理、データセキュリティ、違反通知についても規定する必要があります。

法的根拠: GDPR第28条(3)は、DPAの必須内容を列挙しています。GDPR第28条(4)は、サブプロセッサーに対する明示的な承認を要求しています。

現実世界への影響: APは、適切なDPAを締結せずにデータ処理業者と契約した組織に制裁を科しています。データ処理業者自身がDPAに準拠している場合でも、適切な契約を締結しなかったとして管理者が罰金を科される可能性があります。

実用的なポイント: 第28条(3)項の要件をすべて網羅した標準化されたDPAテンプレートを使用してください。既存の契約を見直し、GDPRに準拠していることを確認してください。DPAに署名していない新しいデータ処理業者は登録しないでください。

4. EEA 域外の第三国への違法な移転 (GDPR 第 44 条から第 49 条およびシュレムス II)

リスク: 欧州経済領域（EEA）外への個人データの転送は厳しく制限されています。転送先国が適切なレベルの保護を提供している場合、または適切な安全対策を講じている場合にのみ転送が可能です。

企業が間違える理由: 多くの企業は、米国またはアジアでホストされているクラウドサービス、決済処理業者、または分析ツールを、国際移転規則の適用対象となることに気付かずに利用しています。契約相手がEU加盟国であっても、データがEEA域外で保存またはアクセスされる場合は、移転規則が適用されます。

その シュレムスII 判決（C-311/18事件）は、EU-米国間プライバシーシールドを無効とし、標準契約条項（SCC）だけでは不十分であることを改めて示しました。移転先国の法律がSCCによって保証される保護を損なわないかどうかを評価するために、移転影響評価（TIA）も実施する必要があります。

法的根拠: GDPR第44条から第49条は、国際的な移転を規定しています。GDPR第V章では、十分性認定（第45条）またはSCCなどの適切な保護措置（第46条）が義務付けられています。

現実世界への影響: 適切な保護措置が講じられていない場合、APは第三国へのデータ移転を停止または禁止するよう命じることができます。企業は、TIA（米国におけるデータ移転に関する事前承認）を実施せずに米国にデータを移転したことで、強制措置や評判の低下に直面しています。シュレムスII.

実用的なポイント: データフローにおける第三国への移転をすべて特定します。十分性認定の有無を確認します。十分性認定がない場合、SCC（標準データ保護規則）を実装し、TIA（データ保護影響評価）を実施します。必要に応じて、補足的な措置（暗号化、仮名化など）を文書化します。

5. データ保護影響評価の実施の不履行（GDPR第35条）

リスク: データ保護影響評価（DPIA）は、データ共有が個人の権利と自由に大きなリスクをもたらす可能性がある場合に必須です。これには、特別なカテゴリのデータの大規模な処理、体系的な監視、または新しいテクノロジーの使用が含まれます。

企業が間違える理由: 多くの組織は、DPIAをオプション、あるいは「大規模」プロジェクトにのみ関連するものとして扱っています。実際には、サードパーティの分析プラットフォームと医療データを共有すること、AIを活用したプロファイリングツールを導入すること、複数のソースからデータセットを統合することなどは、いずれもDPIAの要件を満たす可能性があります。

DPIAは、単にチェックボックスをチェックするだけの作業ではありません。リスクを特定し、その重大性を評価し、軽減策を決定するための構造化されたプロセスです。残存リスクが依然として高い場合は、手続きを進める前にAPに相談する必要があります。

法的根拠: GDPR第35条は、高リスクの処理に対してDPIAを義務付けています。APはDPIAが必要となるケースに関するガイドラインを公開しています。

現実世界への影響: 必要なDPIAを実施しないこと自体がGDPR違反となります。APは、実際のデータ侵害が発生していない場合でも、DPIAを完了せずに高リスクのデータ共有を進めた組織に罰金を科しています。

実用的なポイント: すべてのデータ共有活動においてDPIAの対象となる事象の有無を精査してください。疑わしい場合は、必ず評価を実施してください。データ保護責任者（DPO）を関与させ、評価プロセスを徹底的に文書化してください。

6. データ主体への不十分な情報（GDPR第13条および第14条）

リスク: 透明性はGDPRの根幹です。個人データを収集または共有する際には、データ主体に対し、誰が、どのような目的で、どのような法的根拠に基づいてデータを受け取るのかを通知する必要があります。

企業が間違える理由: プライバシーに関する通知は、曖昧であったり、時代遅れになっている場合がよくあります。「お客様のデータは信頼できるパートナーと共有される場合があります」といった表現では不十分です。受信者のカテゴリー（例：「クラウドホスティングプロバイダー」、「マーケティング代理店」）を明記し、必要に応じてその名称を明記する必要があります。

データが間接的に取得される場合（たとえば、データ ブローカーまたは別の管理者から）、GDPR の第 14 条によ​​り、データのソースを含む追加の情報義務が課せられます。

法的根拠: GDPR第13条および第14条には、データ主体に提供しなければならない情報が列挙されています。GDPR第5条(1)(a)は、すべての処理活動における透明性を要求しています。

現実世界への影響: AP通信は、個人が自分のデータを第三者と共有していることを通知しなかった企業に制裁を科しました。たとえ共有自体が合法であったとしても、透明性の欠如はそれ自体が違反行為となります。

実用的なポイント: プライバシー通知を見直し、更新し、データ共有の慣行を明確に説明してください。通知はアクセスしやすく、平易な言葉で記載されていることを確認してください。新しいパートナーとデータを共有する場合は、共有開始前に通知を更新してください。

7. 偽名化は安全だと思い込む

リスク: GDPRでは、セキュリティ対策として、直接的な識別子をコードやトークンに置き換える仮名化が推奨されています。しかし、仮名化によってデータが匿名化されるわけではありません。データが依然として個人に紐付けられる場合、それは依然として個人データであり、GDPRの全範囲が適用されます。

企業が間違える理由: 企業はしばしば、仮名化されたデータは制限なく共有しても「安全」だと思い込んでいます。しかし実際には、仮名化はリスクを軽減するだけで、完全に排除するものではありません。仮名化されたデータを、鍵や再識別を可能にするその他のデータセットにアクセスできるパートナーと共有する場合でも、個人データを処理していることになります。

法的根拠: GDPR第4条(5)は仮名化を定義しています。GDPR前文26項は、仮名化されたデータは、真に匿名化されない限り（すなわち、いかなる合理的な手段によっても再識別が不可能になるまで）、個人データのままであると明確にしています。

現実世界への影響: APはガイダンスの中で、仮名化は「免罪符」ではないことを明確にしています。再識別が可能な場合、法的根拠の確保、DPIAの実施、適切なセキュリティの確保など、GDPRのすべての義務が適用されます。

実用的なポイント: 専門家によって検証された厳格な匿名化プロセスを経ていない限り、仮名化されたデータは個人データとして扱ってください。再識別を防止するために実施されている技術的および組織的な対策を文書化してください。

よくある質問

GDPR に基づくデータ共有はいつ許可されますか?

データ共有は、GDPR第6条に基づく有効な法的根拠がある場合のみ合法です。6つの法的根拠とは、同意、契約上の必要性、法的義務、重要な利益、公的任務、正当な利益です。また、合法性、公平性、透明性、目的の限定、データの最小化、正確性、保存期間の制限、完全性、機密保持の原則（GDPR第5条）も遵守する必要があります。具体的には、データを共有する理由を明確に文書化し、その目的が当初の収集目的と一致することを確認し、データ主体に共有について通知することを意味します。

コントローラーとプロセッサーの違いは何ですか?

A コントローラ 個人データを処理する目的と手段を決定します。 プロセッサ 特定の指示に基づき、管理者に代わってデータを処理します。この区別は重要です。管理者はGDPR遵守に主な責任を負うのに対し、処理者はより限定的な義務（主にセキュリティと機密性の確保）を負うためです。給与計算サービスやクラウドストレージサービスなど、お客様の指示に基づいてデータを処理するサプライヤーとデータを共有する場合、そのサプライヤーは通常、処理者です。また、サプライヤーが独自の目的でデータの使用方法を決定する場合は、（共同）管理者となる可能性があります。役割の誤認は、説明責任の不備や違反に対する共同責任につながる可能性があります。

データ処理契約 (DPA) はいつ必須になりますか?

個人データ処理を委託する事業者に個人データ処理を委託する場合は、必ずDPA（データ保護契約）を締結する必要があります（GDPR第28条）。これは、組織の規模やデータの量に関わらず適用されます。DPAは書面で締結する必要があり、処理の対象と期間、処理の性質と目的、データの種類とデータ主体の区分、セキュリティ、違反通知、再処理に関する両当事者の義務など、具体的な必須条項を含める必要があります。DPAに準拠したDPAがない場合、たとえ損害が発生していなくても、事業者が処理を開始した瞬間から違反となります。

顧客データを EU 外の当事者と共有できますか?

はい、ただし厳しい条件が満たされた場合のみです。GDPR第44条から第49条に基づき、(a)欧州委員会がその国について十分性認定を行っている場合、または(b)標準契約条項（SCC）などの適切な保護措置を講じている場合、第三国にデータを移転することができます。 シュレムスII 判断に当たっては、移転影響評価（TIA）を実施し、移転先国の法律（例：政府による監視）がSCCで保証されている保護を損なっていないかどうかを評価する必要があります。リスクが残る場合は、暗号化やデータ最小化などの補足措置を講じる必要があります。適切な保護措置を講じない移転は、APによる強制措置（移転の停止を含む）の対象となる可能性があります。

データ共有に DPIA が必要となるのはいつですか?

GDPR第35条に基づき、処理が個人の権利と自由に高いリスクをもたらす可能性がある場合、DPIA（個人データ保護に関する包括的情報提供）が必須となります。これには、特別なカテゴリーのデータ（健康データ、生体認証データ、遺伝子データなど）の大規模な処理、公開アクセス領域の体系的な監視、法的または同様に重大な影響を及ぼす自動意思決定、新しいテクノロジーの利用などが含まれます。データを共有する際には、データセットの結合、機密情報の共有、プロファイリングやAIを活用した分析へのデータ使用など、多くの場合DPIAが必要となります。AP（オーストラリア行動計画局）は、DPIAが必要となる処理業務のリストを公開しています。ご不明な点がある場合は、DPIAを実施してください。安全を第一に、後悔しないようにしましょう。

GDPR に違反した場合、企業はどのような罰金を科せられる可能性がありますか?

GDPRは2段階の罰金を規定しています。低い方の段階（最大1,000万ユーロまたは世界年間売上高の2%）は、適切なセキュリティ対策の実施を怠った場合や、必要なDPIAを実施しなかった場合などの違反に適用されます。高い方の段階（最大2,000万ユーロまたは世界年間売上高の4%）は、処理の法的根拠の欠如、違法な国際転送、データ主体の権利侵害など、より深刻な違反に適用されます。AP（個人情報保護責任者）は、違反の性質と重大性、故意か過失か、影響を受けた人数、そして講じられた軽減措置などの要素に基づいて罰金額を決定します。最近の施行状況を見ると、APは特に組織的または意図的な違反に対して、多額の罰金を科す用意があることが分かります。

仮名化されたデータは常に安全に共有できますか?

いいえ。仮名化はリスクを軽減しますが、完全に排除するものではありません。GDPR第4条(5)項では、仮名化とは、氏名などの直接的な識別子をコードまたは仮名に置き換えることを意味します。ただし、例えば、あなたまたは受信者が保有する追加情報を使用することで、データが依然として個人に紐付けられる場合、それは個人データであり、GDPRの適用対象となります。つまり、法的根拠が必要であり、データ主体に通知し、適切なセキュリティを確保する必要があります。真の匿名化、つまりいかなる合理的な手段によっても再識別が不可能になった場合にのみ、データはGDPRの適用範囲から除外されます。実際には、真の匿名化を実現することは困難であり、専門家による検証が必要です。

違法なデータ共有により企業でデータ漏洩が発生した場合、どうすればよいでしょうか?

違法なデータ共有によるものも含め、個人データの漏洩を発見した場合は、 72時間 GDPR第33条に基づきAP（アクセス・アクセス・プロバイダ）に通知する義務があります（ただし、違反が個人の権利と自由に対するリスクにつながる可能性が低い場合を除く）。また、違反が影響を受ける個人に重大なリスクをもたらす可能性がある場合（GDPR第34条）は、遅滞なく通​​知する必要があります。直ちに講じるべき措置としては、違反の封じ込め、その範囲と影響の評価、発生した事象とその対応の記録、そしてAPのオンラインポータルを通じてAPに通知することが挙げられます。通知を怠った場合、別途罰金が科せられる可能性があります。APは、違反の重大性とあなたの対応に基づき、強制措置が必要かどうかを判断します。

ビジネスを守る - 専門家の法的アドバイスを受ける

データ共有は避けられませんが、GDPR違反は必ずしも避けられません。上記で概説した7つのリスクは理論的なものではなく、実際の執行事例、裁判所の判決、規制ガイダンスから導き出されたものです。いずれも罰金、賠償請求、そして風評被害につながる可能性があります。

良いニュースは？適切な法的枠組み、明確な文書、そして積極的なコンプライアンス対策があれば、自信を持って合法的にデータを共有できます。しかし、適切なデータ共有を実現するには、一般的なアドバイスだけでは不十分です。お客様のビジネス、データフロー、そしてお客様が直面する具体的なリスクを理解した、お客様に合わせた法的サポートが必要です。

APからの連絡を待つ必要はありません。自社のデータ共有慣行がGDPRに準拠しているかどうか不明な場合、またはDPAの作成、DPIAの実施、国際移転の管理についてサポートが必要な場合は、プライバシー専門の弁護士にご相談ください。お客様のビジネス、そしてお客様の顧客にとって、これ以上のメリットはありません。