「GDPR」に対応するために日本企業は何をするべき？対応のポイントを解説しますたぷるとぽちっと

「GDPR」に対応するために日本企業は何をするべき？対応のポイントを解説します

2018年5月25日、EEA（European Economic Area/欧州経済領域。EU28ヵ国+ノルウェー、アイスランド、リヒテンシュタイン）で、それまでの「EUデータ保護指令」に代わる新たな個人情報保護ルールとして、「GDPR」が施行されました。

2016年4月の採択から施行までには2年間の移行期間がありましたが、準備に十分な期間を割いていたという米Google社や米Facebookが施行当日に提訴されるなど、波乱を巻き起こしています。

本記事では、日本企業がGDPRにどう対応すべきか？アイネスの見解を交えて解説していきます。

「GDPR」とは

「GDPR」はGeneral Data Protection Regulationの頭文字を取ったもので「EU一般データ保護規制」と訳されます。

GDPRが制定された背景

ビッグデータ時代、企業には顧客データや行動履歴などをグローバル規模で分析し商品開発やサービス改善などに活用したいというニーズが高まっています。
同時に、サイバー攻撃や内部不正などによる個人データ漏えいのリスクも急速に高まっている現状があります。

EUではもともと、個人情報に関する法整備が進んでいましたが、上記のような環境変化への対応を目的として、新たなデータ保護の枠組みとしてGDPRが策定されました。

GDPRで事業者に求められている義務

GDPRは、おおまかにいうと個人データに関する「処理」と「移転」に関して規定した法律です。

■個人データの処理に関する義務

利用目的や保管する期間の通知
本人からの明確な同意
本人の自らの個人データへのアクセス権（開示等）
センシティブデータ（思想や信仰、政治的信条、性的指向、犯罪歴などに関する慎重に扱われるべき情報）の原則取り扱い禁止
漏えい等発生時の通知義務（72時間以内）
データ保護オフィサー（責任者）や代理人専任義務

■個人データの移転に関する義務

EEA域外への個人データの移転は原則として禁止されています。移転とは、GDPRで明確に定義されているわけではありませんが、EEA域内の個人データをEEA域外へ持ち出すことが該当すると思われます。

2018年6月現在、EEAの政策執行機関である「欧州委員会」によって「適切なレベルのデータ保護措置を講じている」と認定を受け移転が認められている国は、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、イスラエル、マン島、ジャージー、ニュージーランド、スイス、ウルグアイなどで、これ以外の国へ移転する場合は、移転先の国やエリアで適切な保護措置（以下の3点のうちいずれか）が取られていなければGDPR違反となります。

多国籍企業内でのデータ流通を認める拘束的企業準則（BCR）を申請し、監督機関の許可を得る。
標準契約条項（SCC）を締結する。
本人同意を得る

これらの義務に違反した場合、特に重大なものには、以下の2パターンの金額を上限に制裁金が課せられます。

企業のグローバル売上高の2％または、1,000万ユーロの高い方
16歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(第8条)。 GDPR 要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第25条、第28条) EU 代理人を選任する義務を怠った場合(第27条) 責任に基づいて処理行為の記録を保持しない場合(第30条) 監督機関に協力しない場合(第31条) リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第32条) セキュリティ違反を監督機関に通知する義務を怠った場合(第33条)、データ主体に通知しなかった場合(第34条) 影響評価を行なわなかった場合(第35条) 影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合(第36条) データ保護責任者（DPO）を選任しなかった場合、または、その職や役務を尊重しなかった場合(第37～39条)
企業のグローバル売上高の4％または、2,000万ユーロの高い方
個人データの処理に関する原則を遵守しなかった場合(第5条) 適法に個人データを処理しなかった場合(第6条) 同意の条件を遵守しなかった場合(第7条) 特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条) データ主体の権利およびその行使の手順を尊重しなかった場合(第12-22条) 個人データの移転の条件に従わなかった場合(第44-49条) 監督機関の命令に従わなかった場合(第58条(1)および(2))

日本企業に求められる「GDPR」対策は…？

事業者としてGDPRが適用されるのは、以下の4つのケースのいずれかに当てはまる場合です。

EEAに子会社、支店、営業所、駐在員事務所を有している場合
EEA域内にいる個人に対して商品やサービスを提供している場合
EEAから個人データの処理について委託を受けている場合（データ事業者やクラウドベンダーなど）
EEA域内にいる個人を監視する場合（アプリやWebサイトにおける個人の行動履歴や購買履歴の追跡など）

また、GDPRは、グローバル企業に限らず、中小零細企業や公的機関、地方自治体や非営利団体にも適用されます。
以下にそれぞれのタイプでの主な対応策を挙げていきます。

a.EEAに子会社、支店、営業所、駐在員事務所を有している場合

従業員の個人データを処理する許可（同意）を得る
従業員の個人データに対する従業員からの請求によって開示対応する。
従業員の個人データに対する従業員からの請求によって削除対応する。
データ漏えいがあった際の従業員と監督機関への報告（インシデント発生から72時間以内）
場合に応じてデータ保護責任者を設置。

b.EEA域内にいる個人に対して商品やサービスを提供している場合

ユーザーの個人データを処理する許可（同意）を得る
個人データに対するユーザーからの請求によって開示対応する。
個人データに対するユーザーからの請求によって削除対応する。
データ漏えいがあった際のユーザーと監督機関への報告（インシデント発生から72時間以内）
場合に応じてデータ保護責任者を設置。

c.EEAから個人データの処理について委託を受けている場合（データ事業者やクラウドベンダーなど）

ユーザーから委託先を通して個人データの開示請求があれば開示対応する。
ユーザーから委託先を通して個人データの削除請求があれば削除対応する。
データ漏えいがあった際の委託先とユーザー、監督機関への報告（インシデント発生から72時間以内）
場合に応じてデータ保護責任者を設置。

d.EEA域内にいる個人を監視する場合（アプリやWebサイトにおける個人の行動履歴や購買履歴の追跡など）

ユーザーに行動履歴や購買履歴といった個人データを追跡する許可（同意）を得る
これらのデータをユーザーからの請求によって開示対応する。
これらのデータをユーザーからの請求によって削除対応する。
データ漏えいがあった際のユーザーと監督機関への報告（インシデント発生から72時間以内
場合に応じてデータ保護責任者を設置。

日本での支援体制

実はEUにとっては、日本は適切な個人情報保護制度が整備されているとは認められていません。そのため、「欧州委員会が示しているGDPRガイドラインの日本語仮訳やEU各国の関係機関へのリンクなどの提供を実現するとともに、中小企業を含む我が国事業者への周知を図り、EU域内でビジネスを行う日本企業に対する支援を行う」と個人情報保護委員会及び経済産業省は掲げています。

もし自社で解決出来ない場合は、JETROや個人情報委員会などが支援を行っているので窓口に問い合わせて対応を行いましょう。また、プライバシーマークの認定を取っている企業も、ある程度情報を理解しているので対応出来る可能性があります。

これまで日本はEUに認めてもらうため、“個人情報保護法の改正”や、“個人情報保護法ガイドラインの作成”など日本国として尽力する意思を掲げ続けてきました。その結果、今秋にEUから合意をもらう予定となっています。日本の法律とEUの法律はほぼ同じなので、合意された秋以降は日本の法律を守っていれば大きな問題はないとされていますが、合意されるまでの間は以下の参考資料を確認いただきながら注意して対応してください。