日本企業も知らないではすまされない -1年後に迫ったEU個人データ保護法の改正-
掲載:2017年04月07日
コラム
2018年5月25日にEU(欧州連合)において新たな個人情報保護法、「General Data Protection Regulation(GDPR:EU一般データ保護規則)」が施行されます。GDPRは、技術の急速な発展に伴いビジネスのグローバル化が進み、個人情報を取り巻く環境が劇的に変化している中、1995年から適用されている「EUデータ保護指令(95/46/EC)」に替わる新たな法規制として2016年4月に制定された法令です。
個人データの保護に対する権利という基本的人権の保護をより強固にするという目的に基づき、「EU全体で一貫した法整備」、「データ保護範囲の拡大」、「企業に対する新たな説明責任の導入」、「制裁と執行の増大」などが掲げられています。
EUにおける法令ではあるものの、この新しい法規制は日本の多くの企業・組織に影響があると言われており、内容を十分に理解し対応に取り組む必要があります。
GDPRの概要
GDPRはEEA(European Economic Area[1]:欧州経済領域)域内の個人データに対し、以下の2点に関して満たすべき要件が規定されています。前文173項、本文99条からなるこの法令は、これまでのデータ保護指令よりも複雑で、新たな要件が多数導入されています。
- EEA域内での個人データの「処理」
- EEA域内からの個人データの「移転」
主な特徴としては、データ保護指令が指?に基づき加盟国ごとに?法したデータ保護法であるのに対し、GDPRはEU全体で一貫した法整備を行っている点が挙げられるでしょう。また、GDPRに違法した場合、下記の通り高額な制裁金が課される可能性がある点も企業が着目すべき大きな特徴の一つとなっています。
【制裁金の上限種類】
- 1,000 万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
- 2,000 万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方
※1ユーロ =120円の場合、1,000万ユーロ = 12億円、2,000万ユーロ = 24億円
そして、このGDPRは、処理を行う管理者/処理者の拠点がEEA域内[2]にある場合はもちろんのこと、EEA域内に拠点を持たない場合であっても、Webサイト等を通じてEEA 域内のデータ主体に対して商品やサービスを提供する場合には適用対象となります(域外適用)。また、会社規模に関わらず、中小・零細企業を含む営利活動に従事する企業、公的機関、地方自治体、非営利団体も適用対象となっています(外交・防衛・警察などについて例外あり)。これらのことからも、多くの日本企業・組織に影響があると考えられています。
GDPRの対象となる個人データ
GDPRにおける個人データとは、「識別された、または識別されうるデータ主体に関するすべての情報」、つまり個人の特定につながる情報を意味しています。そして、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データであれば、「短期出張や短期旅行でEEA 域内に所在する日本人の個人データ」や「日本企業からEEA域内に出向した従業員の情報(元は日本からEEA域内に移転した情報)」であっても、GDPRの対象となる個人データとみなされます。
個人データの例)
- 自然人の氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス/クッキー識別子)
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
個人データの処理・移転
個人データの「処理」とは、自動的か否かに関わらず、個人データ対して行われる作業(取得、記録、編集、構造化、保存、修正/変更、復旧、参照、利用、送信による開示、周知またはその他周知を可能にすること、整列/結合、制限、消去/破壊すること)を指しており、具体的には下記のような作業が該当します。
個人データ処理の例)
- クレジットカード情報の保存
- メールアドレスの収集
- 顧客の連絡先詳細の変更
- 顧客の氏名の開示
- 上司の従業員業務評価の閲覧
- データ主体のオンライン識別子の削除
- 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成
一方、個人データの「移転」に関してはその概念は現行のデータ保護指令、GDPRのいずれにも定義がされていないものの、EEA 域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為、例えば「個人データを含んだ電子形式の文書を電子メールでEEA 域外に送付する」といった作業が該当します。注視すべき点としては、下図のようにEEA域内のメール送信であっても日本のメールサーバーを経由する場合はEEA域外への個人データの移転とみなされる点です。同様に、EEA域内の従業員、顧客情報等を日本のクラウドサーバに保有する場合もGDPRの対象となります。
日本の企業・組織におけるGDPRへの取り組みステップ
GDPRの要件は複雑で多岐にわたっており、日本の企業・組織においても適切な対応が求められています。例えば、例として挙げている日本のメールサーバーを介してのメール送信においては、日本本社と欧州内の支店との間で、欧州委員会によって決定された契約書の雛形であるSCC(Standard Contractual Clauses:標準契約条項)を締結することにより、適切な保護措置を提供したうえでデータ移転をすることが望ましい対応策と考えられています。
このように、どういった対策を取るべきか、そもそも自分たちはGDPRの対象となるデータを保持しているのかなど、各企業・組織は以下のようなステップに則って一つずつ対応を進めていく必要があります。
【GDPR対応の主なステップと内容】
出典:日本貿易振興機構(JETRO)「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
GDPRの対応として取り組むべき第一歩は、まず要件を十分に理解しGDPRの対象となる個人データがどれだけあるのかを明らかにすることです(データマッピング)。次にGDPRの要求事項に対し、企業・組織内の対応状況がどこまで進んでいるかを評価すると同時に、評価結果について優先順位付けを行います。そして対応に要する人員、コスト等を考慮したうえで、企業・組織をあげての包括的な対応方針を策定し、それに沿った形で各担当者が密に連携を行いながら1年後に迫った施行日にむけて対応を進めていくことが重要といえるでしょう。
