12 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回から「GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制」というタイトルで毎月1日と15日に記事を掲載させていただく浅井です（プロフィールは末尾をご覧ください）。

この第1回目では本Q&Aシリーズで扱うEUのGDPRとCookie規制の簡単な説明と本Q&Aの狙いを説明します。

Q1: EUのGDPRとCookie規制とは何ですか？

A1: GDPRとはEU（欧州連合）の General Data Protection Regulation（「一般データ保護規則」）の略で、日本の個人情報保護法に相当します。EUのCookie規制とはEUのePrivacy指令に基づくCookieの利用規制を意味します。

なお、Cookieとは、Webサイト等のサーバ（コンピュータ）からブラウザ等を通じサイト訪問者のパソコン等に自動的に書き込まれおよび読み込まれるIDその他のデータまたはその仕組みを意味します。

【解説】

GDPRはEU域内の個人データ（以下個人情報を含め「個人データ」と総称）の保護を規定する法律としてEU加盟国（現在英国を含め28か国）に直接適用され2018年5月25日から施行されています。元々EUでは「データ保護指令」が適用されていましたが、GDPRでEUの個人データ保護はより厳格なものになりました。

ePrivacy指令第5条（通信の秘密）第3項は、「Cookie」によるユーザ端末（パソコン、スマートフォン等）情報の利用を、それが個人データであるかどうかを問わず、厳しく規制しています。

Q2: EUのGDPRとCookie規制を学ぶ意義は何ですか？

A2：EUのGDPRとCookie規制は日本を含め世界の個人データ保護法と国際取引に多大な影響を与えており、今や企業法務分野における必須知識となっています。従って、これらを学ぶことは、この知識を獲得するという意義があります。

【解説】

世界的には、ケンブリッジ・アナリティカ社が、2016年の米大統領選とBrexit（ブレグジット：英国のEU離脱）をめぐる英国民投票の結果に影響を与えるため、数千万人分のFacebook利用者の個人データを利用したとされる事件、我が国では2014年に発覚したベネッセ個人情報流出事件等、個人データの不正利用や流出事件が近年世界的な関心を集めています。

また、例えば、Cookieは、最近日本でもいわゆる内定辞退率提供サービス（リクナビ問題）で利用されたこと等により注目を集めました。

更に、2019年12月には、日本の公正取引委員会が、事業者による消費者の個人データの不当な取得や利用が独占禁止法上の「優越的地位の濫用」となり得るとの考え方[1]を公表する等、個人データは競争法上の重要テーマともなっています。

そして、このような問題が議論される場合、EUのGDPRとCookie規制は必ず言及され、また、日本を含め各国の個人データ保護法制に多大な影響を与えています。

従って、企業法務の担当者にとり、いまや、EUのGDPRとCookie規制は必須の知識となっています。

Q3：本Q&Aの名前の最初に「GDPR関連資格をとろう！」とありますが、これはどういう意味ですか。

A3: この「GDPR関連資格」とは、具体的には世界的なプライバシー専門家団体であるIAPPの認定するCIPP/Eという資格を指します。そして、本Q&Aシリーズでは、読者に、この資格の認定試験に合格できるレベルの知識を伝えることを目標としています。

【解説】

本Q&Aは、CIPP/Eの認定試験で出題される項目に準拠して執筆していく予定です。

CIPP/Eは、"Certified Information Privacy Professional/Europe"の略です。CIPP/Eは、2000年設立の世界最大（現在会員5万人以上）の情報プライバシーに関する非営利団体であるIAPP（The International Association of Privacy Professionals）の認定資格です。

CIPP/Eは、EUのGDPRとCookie規制等のコンプライアンス実務専門家（弁護士・法務担当者・IT担当者を含む）として必要な知識・スキル・能力を測るためIAPPが実施する試験の合格者に対し与えられる資格(certification)です。

また、GDPRによれば、企業は、一定の場合、データ保護監督者 (data protection officer）（DPO) を選任しなければなりません(37(1))。このDPOに選任されるには、専門家としての資質がなければならず(37(5))、企業はそのことを証明できなければなりません(5(2), 24)。CIPP/Eを保有していていることはこの資質のあることの有力な証拠となると思われます。

なお、筆者自身は、本稿末尾の「詳説GDPR」を執筆したことをきっかけとして、同書執筆中の2019年10月に初めてCIPP/Eの認定試験を受け幸い合格しました。

Q4:CIPP/E認定試験の概要を教えて下さい。

A4: 以下の通りです。

(a)　主な出題範囲

・欧州のデータ保護法の起源、関係機関および立法の枠組み

・GDPRの内容

・雇用、監視、ダイレクトマーケティング、処理委託に関する実務

・クラウド・コンピューティング、検索エンジン、SNS等に関する個人データ保護

(b)　試験の申込・方式・受験料

・試験の申込はIAPPのWebサイトから行います。

・試験は、2時間半（150分）で90問を解答する（1問1.7分未満）多肢選択式の試験です（言語は全て英語）。

・一部は事例問題です。

・日本国内では、受験者が選択した日時・場所（各地の試験センター）でコンピュータによる試験が実施されます。

・受験料は、2019年10月時点でUS550ドル（再受験料375ドル）です。この他、2年ごとに250ドルの認定維持料が必要です（但し、IAPP会員の場合この維持料は年会費125ドルに含まれます）。

(c)　試験の分野別出題傾向

・IAPPは、CIPP/E試験（全体で90問）について分野ごとの最小および最大出題数を公表しています。

Q4:CIPP/E認定試験の学習方法を教えて下さい。

A4: 以下にヒントを記します。

・IAPPのサイトから無償のスタディーガイドが入手できます。

・IAPPが推奨する英文テキストがあります。しかし、一般的な日本の読者にとっては全て英語で学習し正確に理解することは容易ではありません。従って、筆者としては本Q&Aまたは末尾の拙著「詳説GDPR」での学習をお勧めします。

・IAPPは有償で30問のサンプル問題（正解と解説付き)を提供しています。これは、実際のCIPP/E試験の形式と内容に慣れ、時間配分を間違えないようにするために有用です。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第1回はここまでです。次回は、欧州における個人データ保護の歴史を概観します。

【著者GDPR・Cookie規制関連本】

【注】

[1] 公正取引委員会「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」令和元年（2019年）１２月17日

＝＝＝＝＝＝＝＝＝＝
【免責条項】　本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
（＊）この「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」シリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。
review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】
浅井敏雄（あさいとしお）
企業法務関連の研究を行うUniLaw企業法務研究所代表

1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】
https://www.theunilaw2.com/

メルマガ会員登録