前回に引き続き第2弾。2018年5月にEUで施行される個人データに関する保護制度、EU一般データ保護規則(GDPR)について、株式会社GRCS COO 榎本司氏に解説頂きます。(全4回)

「EU一般データ保護規則(GDPR)」とは、EU圏内において個人情報を扱う企業はすべて対象となり、違反が認められる場合は高額な制裁金が課せられるなど、EU圏内でビジネスを展開する日本企業にも大きく影響する制度です。

第2回 GDPR(EU一般データ保護規則)とは(2)

4代理人(Representatives)選任

EEA外からサービス提供/個人データ取扱を行う場合、EEA域外管理者として代理人選任義務発生の可能性がある 第27条

  • 明確にEEAを対象にしたサービスを提供し、定期的なデータ処理が行われる
  • 代理人はEEA内に拠点を設ける必要

代理人を選任しなくてもよい適用外措置

  • 「処理が不定期である」、「処理に大規模な特別カテゴリー(人種、思想、宗教等)のデータが含まれない」かつ「処理により個人の権利や自由を危険にさらす可能性が低いと判断できる」場合
  • 明確にEEAを対象にしないサービス提供で、特に小規模で運営しているような場合の扱いについいては不明点が多い(ガイドラインの確認必要)

5データ保護責任者(DPO)選任

データ保護責任者(Data Protection Officer:DPO)

個人データの処理、移転に関する管理・監督責任者(イメージとしてはPマークの個人情報保護管理者に似るが、役割、地位、業務内容が強化された内容)

以下の場合DPO 選任が必要 第37条

  1. 処理が公的機関または団体によって行われる場合
  2. 管理者または処理者の中心的業務が、その性質、適用範囲及び/または目的によって、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合
  3. 管理者または処理者の中心的業務が、第9条で言及された特別な種類(人種、思想、宗教等)のデータおよび第10条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合
  4. EU法または加盟国の国内法でDPOの選任が義務付けられている場合(EU加盟国に拠点がある場合、該当する可能性が強いので各国の国内法検討が必要。)

6GDPR義務違反への制裁(1)

制裁金の上限(義務違反種類による二つの類型)

1. 前事業年度の企業の全世界年間売上高の2%以下または1000万ユーロのいずれか高い方
  • 子供の同意に適用される条件(16歳未満:保護責任者の同意/許可必要)に従わなかった場合 第8条
  • GDPRの要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合 第25条、第28条
  • 義務があるのにEU域内の代理人を選任しない場合 第27条
  • 責任に基づいて処理行為の記録を保持しない場合 第30条
  • 監督機関に協力しない場合 第31条
  • リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合 第32条
  • セキュリティ違反を通知義務があるのに監督機関に通知しなかった場合 第33条、データ主体に通知しなかった場合 第34条
  • データ保護影響評価を行なわなかった場合 第35条
  • データ保護影響評価によってリスクが示されていたにも係わらず処理の前に監督機関に助言を求めなかった場合 第36条
  • データ保護責任者(DPO)を選任しなかった場合、またはその職や役務を尊重しなかった場合 第37-39条
2. 前事業年度の企業の全世界年間売上高の4%以下または2000万ユーロのいずれか高い方
  • データ処理に関する原則を遵守しなかった場合 第5条
  • 適法に個人データを処理しなかった場合 第6条
  • 同意の条件を遵守しなかった場合 第7条
  • 特別カテゴリーの個人データ処理の条件を遵守しなかった場合 第9条
  • データ主体の権利およびその行使の手順を尊重しなかった場合 第12-22条
  • 個人データの移転の条件に従わなかった場合 第44-49条
  • 監督機関の命令に従わなかった場合 第58条(1)および(2)
筆者プロフィール

榎本司(株式会社GRCS取締役兼COO)

金融系SIerでの営業、事業開発、日本ヒューレットパッカードにおいてセキュリティソリューションのビジネス開発及びアライアンス、クロスビジネスユニットで日本をリードし、また、インフラソリューションのビジネス開発にも従事。当社においてはCOOとして、ビジネスオペレーション、ビジネス戦略、ソリューション開発、新規ビジネス開発等のリードを行う。

GRCS社がカバーするGDPR対応支援サービス
プロセス 現地調査 → 対応計画 → GDPR対策 → GDPR運用
コンサルティング EU法弁護士 アセスメントおよびリーガルアドバイス
  • EU個人データ移行支援
  • GDPRコンサルティングおよび支援(文書作成支援、体制デザイン、計画支援)
  • 各種セキュリティソリューション
  • 各種セキュリティソリューション運用支援
支援サービス GDPR運用支援クラウドサービス開発中「GDPR NT(仮)」
GDPR対応支援サービスに関して

参考文献

  1. NTTデータ先端技術株式会社「EU一般データ保護規則(GDPR)の概要」
  2. 【海外識者シリーズ】杉本武重氏(全6回)
    第1回 EUで始まる新しい一般データ保護規則「GDPR」とは?
    第2回 新しい一般データ保護規則概説(2)「GDPRの適用範囲と執行制度」
    第3回 新しい一般データ保護規則概説(3)「個人データ処理の要件および個人データのセキュリティ」
  3. JETRO
    「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
    「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
  4. JIPDEC
    「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」

関連記事

【特別連載】施行がせまる「EU一般データ保護規則(GDPR)」を学ぼう!