EUの一般データ保護規則と改正個人情報保護法--日本企業が気をつけるべきことは

吉澤亨史 2016年08月04日 07時00分

  • このエントリーをはてなブックマークに追加

 EUの一般データ保護規則(GDPR)が欧州議会において採択され、2018年5月に施行される見通しとなった。GDPRは個人データの処理と移転に関する法律であり、厳しい規制と罰則が特徴となっている。デロイト トーマツ リスクサービスが主催したセミナー「EUと日本における新しい個人情報保護制度」では、GDPRの内容や、Brexit(英国のEU離脱)による影響、実務レベルでの注意点などを、改正個人情報保護法とからめて講演があった。

施行まで2年を切ったEU一般データ保護規則(GDPR)


GDPRの基本

 ウィルマーヘイル法律事務所ブリュッセルオフィスのシニアアソシエイトである杉本武重弁護士は、「EUの一般データ保護規則~EUの一般データ保護規則の成立状況、内容及びEUの最新動向~」という題で講演した。杉本氏は、GDPRについて、これまでEUは「EUデータ保護指令(95/46/EC)」を定めていたが、その実態は国によって大きく異なっていたため、これを統一するとともに保護法の範囲を拡張、個人の権利の強化や企業への説明責任の導入、制裁と執行の増大を目的にGDPRに移行するという。2018年5月25日より適用開始の予定だ。


ウィルマーヘイル法律事務所ブリュッセルオフィスのシニアアソシエイトである杉本武重弁護士

 GDPRは、個人データを処理し、欧州経済領域(EEA:European Economic Area:EU加盟国28カ国+アイスランド、リヒテンシュタイン、ノルウェー)から第三国に移転するために満たすべき法的要件を規定している。ここでいう個人データとは、「識別された又は識別可能な自然人に関連する全ての情報」とされており、この範囲が意外に広く、自分の机にある内線電話の番号も個人データに含まれるという。なおGDPRでは「仮名化データ」という概念を取り入れている。追加情報がないと個人を特定できないものだが、匿名化データと異なり個人データとして扱われる。

 また杉本氏は、GDPRの適用範囲の広さについて注意を促した。EUのデータ主体に対し商品またはサービスを提供し、またはEUのデータ主体の行動を監視する場合は、管理者または処理者がEU外で設立されたものである場合であってもGDPRが適用される。

 例えば、日本本社のウェブサイトでEU所在者に対し商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は本社に対しGDPRの直接適用があり得るし、EUで取得した個人データを処理する場合、企業は当該個人データを適法に処理することを確実にすべきとしている。

 GDPRでは、EEA外への個人データの移転を原則として禁止しており、移転先の国・地域に「十分性」が認められた場合、または適切な保護措置を取った場合などに例外的に適法となる。十分性が認められている国は少なく、現状では。日本企業は「SCC」あるいは「BCR」によって、データ移転規制を遵守することが望ましいとした。なお、セーフハーバー協定が無効となった米国は、新たに「米国プライバシーシールド」によって十分性を認められている。

 日本は十分性を認められていないため、EEA域内からデータ移転を行ってしまった場合は罰則が科せられてしまう。実際にいくつか規制違反による法執行が行われており、1万ユーロ前後の制裁金の支払いを言い渡されている。GDPRの適用後は、「企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方」の制裁金が課せられる可能性もある。企業はまず、EEA域内で収集しているEUデータを特定し、個人データが含まれている場合は処理や保管場所などを確認することから始める必要があるとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]