BUSINESS

ビジネス

GDPR(EU一般データ保護規則)とは?日本企業ではどんな対応が必要なのか。

EU一般データ保護規則(以下:GDPR)が2018年5月25日に施行された。個人データ保護や取り扱いについて詳細に定めたGDPRは、EUで活動する企業のみならず、多くの日本企業にも影響を与える可能性がある。

GDPRとは何か、GDPRは何を定めているのか。基本的な点から、どのような日本企業がGDPRの適用対象となるのか、解説していく。

◆GDPRについてさらに深掘りした記事はこちら
EU一般データ保護規則(GDPR)始動は待ったなし! 対応準備は優先順位を付けて着手せよ【ギブソン・ダン・クラッチャー法律事務所・杉本武重弁護士に聞く】
GDPRのデータポータビリティにみる個人情報のあり方。個人情報が資産になる?


GDPR(EU一般データ保護規則)とは何か?

GDPR=EU一般データ保護規則(General Data Protection Regulation)とは、個人データの処理と移転、基本的権利の保護などを定めた規則(EU加盟各国に適用される法令)である。長年に渡って議論され、一般データ保護指令(Data Protection Directive 95/46/ec)に代わる規則として2016年4月14日にEU議会で承認・採択された。

個人データの処理に関する原則、データが有する権利、管理者・処理者が負う義務、データの域外移転に関する規定、監督機関設置の規定、障害発生時のデータの救済・管理者および処理者への罰則、個人データの保護と表現の自由などが詳細に定められている。

GDPRは、個人データを収集する組織データ(管理者)、データを処理する組織(処理者)、データの主体である個人が、EU域内に拠点を置く場合に適用される。また、EU居住者の個人データを収集・処理する組織には、EU域外に拠点を置いていても適用される。

そのために、日本企業にも適用される可能性があり、EU域内に子会社がある場合はもちろん、支店などがある場合やEU域内に対してサービスを展開する場合にも、個人データの取り扱いはGDPRに則る必要がある。

企業は、個人データの処理・保管にあたって、適切な安全管理を行う必要があり、データの漏えいが発生した場合には、72時間以内に監督機関に対し通知しなければならない。さらに、データの処理を行う目的のために必要な期間を超えて個人データを保持することはできず、大量の個人データを扱う企業などでは、データ保護最高責任者(DPO、Data Protection Officer)を任命しなければならないとされている。

また、EEA(欧州経済領域、EU28カ国およびノルウェー、リヒテンシュタイン、アイスランド)域外への個人データの移転は原則として禁止される。移転には、例外的に適法となる十分性認定を欧州委員会から得る必要があり、日本はEU側と交渉を行なっているものの、この認定を受けていないため、企業自身が拘束的企業準則の策定、標準契約条項の締結などを行う必要がある。

GDPRの対象になる個人データは、氏名、住所、メールアドレスから、IPアドレス、SNSの書き込みや医療情報まで、あらゆる個人情報とされている。
このGDPRは、ヨーロッパ市民の基本的人権の保護という観点から、個人情報の扱いについて規制しており、データの扱いは、本人(データ主体)が決めることができるというのが基本的な考え方だ。そのために具体的には以下のような規制が定められている。

  • ・データ主体が個人情報の削除を要求できる(消去権)
  • ・データ主体が個人情報を簡単に取得でき、別のサービスに転送できる(データポータビリティ)
  • ・データ主体がデータ侵害を迅速に知ることができる
  • ・企業などのサービスは個人データ保護の観点で設計され、デフォルトでデータは保護される


違反企業には高額な制裁金も

GDPRは違反企業に対して非常に厳しい罰則を定めている。

例えば、個人データの取り扱いに関し適切な安全管理対策を実施しなかった場合や、GDPRが定めている通りに個人データ処理に関する記録を残していなかった場合、あるいは規定通りにデータ保護最高責任者(DPO)が配置されていなかった場合などに、最大で当該企業の全世界年間売上の2%以下または1千万ユーロ以下のいずれか高い方が制裁金として課される。

さらに、個人データの違法な取扱い、個人データのセンシティブ情報の取扱い規定を順守しなかった場合や、個人データの域外移転に関するルールを順守しなかった場合、または監督機関からの命令に従わなかった場合に、最大で当該企業の全世界年間売上の4%以下または2千万ユーロ以下のいずれか高い方が制裁金として課される。日本円にすると1千万ユーロは約12億円、2千万ユーロは約24億円であるが、いずれも相当な高額だ。企業規模が小さい中小企業にとっては、制裁金で経営にダメージを受ける可能性も考えられるだろう。

日本企業にGDPRが関係するケースとは?

日本企業にGDPRが関係するケースはいくつか考えられる。まずは日本企業がEU域内に現地法人や支店などを有しているケースだ。

この場合、現地法人の従業員や顧客の個人データをGDPRに基づいて適切に扱わなければならない。そのため、GDPRが定める通りに既定の情報管理者(Data Controller)や情報処理者(Data Processor)を配置する必要が生じる。また、EU域内で個人データを収集し、日本国内でその処理を行っている場合もGDPRに基づいたデータ処理が必要になる。

明確な個人データに加え、Cookieなどで得られる個人データ処理も対象となるので注意が必要だ。そして、EU域内に個人データを扱うデータベースやサーバーが設置されている場合もGDPRの適用対象となる。さらには、ネット通販などでEU圏内へ商品やサービスを販売しているケースにもGDPRが適用される。

これに該当する日本企業は多いと思われるが、ネット通販の店舗やサーバーが日本国内に設置されていても、購入者がEU域内に居住しており、その個人データを扱っているのであれば完全にGDPRの適用対象となるため、「日本でビジネスをしているのだから関係ないだろう」ということにはならない。


GDPRへの対応が間に合わない企業が続出か?

アメリカのITコンサルティング会社ベリタステクノロジーズは、2017年2月から3月にかけて、8か国(アメリカ、イギリス、フランス、ドイツ、シンガポール、韓国、オーストラリア、日本)の企業を対象にGDPRへの対応に関して行った調査結果のレポートを公開している。これによると、対象となった企業のIT系幹部900名のうち、すでにGDPR対応の準備ができていると答えたのは全体の31%で、日本企業に限ると19%しかいなかった。

また、「施行日までに対応することは難しい」と答えた日本企業は、実に全体の63%もあったという。さらに、日本企業の72%が「GDPRを順守できず、ビジネスに深刻な影響が及ぶ可能性」を懸念していると答えているのだ。大企業のようにデータ管理オフィサーを配置することが難しい中小企業の場合、状況はさらに深刻だろう。また、仮にGDPRの知識を得たとしても、現実的にどのように対応すればいいのか、困惑している人も多いのではないだろうか。


ワーストシナリオはどうなる?

今の時点で予想されるワーストシナリオは以下のようなものだろう。世界中の多くの企業がGDPRに未対応なまま実施日を迎え、それからしばらくは何もない日が続くが、半年から1年後には経ってコンプライアンス違反企業がぽつぽつと摘発され始める。そして、1年を過ぎる頃には悪質な違反企業が摘発され、見せしめのように制裁金が課せられる。

GDPRへの対応は難しく、EUとはビジネスをしないというのなら止むを得ないだろう。しかし、日本はEUと経済連携協定(EPA)を締結する見通しで、経済的なつながりは深まるばかりだ。企業経営においては、リスクを排除しなければならない。個人データ保護強化の風が、EUの方から吹き始めていることには間違いないのだ。


<参考・参照元>※リンク先一部英文記事
Home Page of EU GDPR
EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項|情報センサー2017年2月号 EY Advisory|新日本有限責任監査法人
GDPR施行まであと1年--対応を迫られる「一般データ保護規則」 - (page 3)|ZDNet Japa
What is GDPR (General Data Protection Regulation)? Understanding and Complying with GDPR Data Protection Requirements|Digital Guardian
日本企業の63%「GDPR施行に間に合わない」ベリタス世界調査|ASCII.jp

あわせて読みたい記事!