デロイト トーマツ リスクサービスのマネジャーである大場敏行氏は、「個人情報の越境移転に関する実務的対応」と題して講演した。GDPRでは、個人データの取り扱いにさらなる制約が求められるとして、EU内に拠点がなくても適用される域外適用について紹介。具体的には「域外移転の制約」「データ保護オフィサー(DPO)の設置」「情報漏えい時の通知義務」「データ持ち運びの権利」「削除できる権利」「罰則の強化」を挙げた。
デロイト トーマツ リスクサービスのマネジャーである大場敏行氏
GDPRは適用範囲が広いことも特徴で、EU域内に子会社が設立されていなくても、EU域内で個人データを収集し、日本で処理している場合や、個人データを保存するサーバなど業務遂行に必要な機器がEU域内にある場合、EU域内へ日本から直接、商品やサービスを提供している場合も適用される。企業には、適切な手続きや管理態勢、技術面の対応が求められ、主要タスクは「越境データ移転への対応」「社内ルールの策定・改訂」「運用体制の整備」「業務フローの策定」「データ保護影響評価」「安全対策の実施」があるとした。
本社がEU域外であっても適用対象となるケース
対応のための主要タスク
大場氏は対応のためのアプローチとして、「対応状況の把握」「ギャップ分析」「対応方針の策定」「対応策の実施」を挙げた。対応状況の把握では、要求事項に対応できているか、アセスメントする。ギャップ分析では、要求事項と現状把握の結果を比較し、相違を特定する。そしてそれらを踏まえた上で発見された相違について、対応方針を策定、実施していく。大場氏は、GDPRの企業に課されている義務に対応するため、残された準備期間は残りわずかであり、適切な手続きや管理態勢・技術面で対応をすぐに始めることが望まれると強調した。