企業がすべき対応は? EU一般データ保護規則をわかりやすく解説!

カテゴリ:クローズアップ 投稿日: 2018.6.29 tag: ,

欧州連合(EU)の個人情報に関する新たな取り決めとして、EU一般データ保護規則(GDPR)が定められました。この規則では、EUの経済領域圏外への個人情報の移動を禁じており、現地に駐在する日本人にも適用が及ぶため注意が必要です。今回はEU一般データ保護規則の目的と、対象となるデータ、人、さらに日本企業がすべき対応について解説します。

EU一般データ保護規則の概要

EU一般データ保護規則とは

EU一般データ保護規則は、EU加盟国及びアイスランド、リヒテンシュタイン、ノルウェーで構成される欧州経済領域(EEA)内における個人データの取り扱いや移転に関するルールを定めたものです。2016年4月に採択され、2018年5月25日から適用が開始しています。EEA内における規則でありますが、EEA内でビジネスを行う日本企業も対象となるため、見逃すことのできない規則です。

EU一般データ保護規則の背景・目的

近年のクラウドサービスの拡大やAIなどの技術革新によって、グローバルな市場における個人データの活用が進んでいます。しかしそれと同時に、Facebookの情報流出スキャンダルのように、個人データが簡単に第三者に漏れてしまうリスクも高くなっています。このような状況のもとで採択されたEU一般データ保護規則は、情報提供者である個人の権利を保護する観点から、従来のEUデータ保護指令よりも個人データ保護の範囲を拡大し、違反者への制裁も強化しています。

関連記事:
【平成29年5月30日~】改正個人情報保護法が施行されます―ほぼすべての企業が法の適用対象となります!
プライバシーポリシーを作成し、個人情報を適切に取扱いましょう!
マイナンバーの収集や廃棄、きちんと行っていますか?この時期に見直したい、マイナンバー管理について

 

EU一般データ保護規則で定められたルール

対象となるデータ

EEA内に所在する個人の特定が可能となる、あらゆるデータが対象となります。氏名・識別番号・住所・メールアドレスなどが代表的な例として挙げられますが、さらに、個人の身体的、生理学的、遺伝的、文化的、経済的、精神的、社会的アイデンティティを示すデータも含まれます。個人が特定できないよう完全に匿名化されたデータや企業のデータ、死者のデータは対象外です。
注意すべき点として、EEA内に駐在する職員のデータや日本のデータをEEAに送り、そこで処理されたデータを再び日本に送る場合なども対象となることが挙げられます。

規則を守らなくてはいけない対象者

  • EEA内に拠点を置く場合
    個人データを収集する「管理者」、管理者に委託されてデータを処理する「処理者」が対象となります。
  • EEA内に拠点を置いてない場合
    以下のどちらかに当てはまれば対象となります。
    1.EEA内の個人に商品やサービスを提供し個人データを得る管理者や処理者
    2.EEAの個人の行動を監視して、個人データを得る管理者や処理者

規制内容

規制内容は様々な観点から綿密に定められています。今回は代表的な規制内容を個人データの処理、移転、データ提供者の基本的権利保護の観点からまとめました。EU一般データ保護規制の対象者は、以下の全てを守る必要があります。

  • 個人データの処理
    1.個人データの収集および利用目的に関して、有効な同意が明示されなくてはいけない
    2.個人データの処理および保管にあたり、適切な安全管理措置を講じなくてはいけない
    3.個人データの処理の目的達成に必要な期間を超えてデータを保持し続けてはいけない
    4.情報漏洩が発覚した場合、企業は監督機関とデータ提供者に対して72時間以内に通知しなくてはいけない
    5.定期的に大量の個人データを取り扱う組織は、データ保護責任者または欧州における代理人を任命しなくてはいけない
  • 個人データの移転
    1.EEA域内から域外への個人データの移転は原則禁止
    2.域外への移転には、標準契約条項の締結や、拘束的企業準則の策定などによってデータ移転規則を守る必要がある
  • データ提供者の基本的権利保護
    1.データ提供者がデータの削除を要求したら、管理者・処理者はデータを削除しなくてはいけない(削除権)
    2.データ提供者が、処理したデータへのアクセスを要求している場合、そのコピーを提供しなくてはいけない(アクセス権)
    3.データ提供者は、データを訂正する権利を持つ(訂正権)

以上に示したルールは一部のもので、その他にも様々なルールが定められています。

 

日本企業がすべき対応

EEAに子会社を持つ企業や、EEAに商品やサービスを提供しているような企業は、EU一般データ保護規則への対応が求められます。

最も確実な方法は、外部の専門家に委託して企業の管理体制などを整備していくことです。しかし、企業内で対策部門を作って整備することも可能です。その場合、以下の3段階で行うと良いでしょう。

  • 企業の個人データの流れを把握する
    EEAとのデータのやりとりが業務のどの部分で生じているのかを明確にしましょう。その上で、施策を講じる個所を判断します。
  • 担当部署を設立し、管理体制を構築する
    幅広い対応が求められるので、担当部署を作ることが望ましいでしょう。EU一般データ保護規則には99条にわたる規則が書かれています。それらの細則を網羅的に把握し、他社の行っている施策などを参考にしながら管理体制を整えましょう。
  • 新しい管理体制を試行し、現実とのミスマッチを解消する
    新しい管理体制ができたら実験的・段階的に移行し、不具合を調整していきましょう。

 

まとめ

今回はEU一般データ保護規則について説明してきました。ヨーロッパにおいて定められた規則ではありますが、日本でも対象となる企業は多く、しっかり把握しておかなくてはいけないものとなっています。この規則を遵守する形で個人データの保護を行えば、企業としての信頼度が向上するというメリットも見込めます。ぜひ個人データの取り扱いを見直してみてはいかがでしょうか。

こちらも読まれています:

*somu-lier(ソムリエ)では書き手を募集しています。
この記事が気に入ったら いいね!しよう
somu-lierから最新の情報をお届けします

この記事に関連する記事