引き続き、2018年5月にEUで施行される個人データに関する保護制度、EU一般データ保護規則(GDPR)について、株式会社GRCS COO 榎本司氏に解説頂くコラムの最終回です。(全4回)
「EU一般データ保護規則(GDPR)」とは、EU圏内において個人情報を扱う企業はすべて対象となり、違反が認められる場合は高額な制裁金が課せられるなど、EU圏内でビジネスを展開する日本企業にも大きく影響する制度です。

第4回日本企業とGDPR

10日本企業とGDPR

GDPRコンプライアンス=経営事項

  1. GDPR適用となる可能性
    (EEA内拠点の有無にかかわらない<=個人データのEEA外移転は原則禁止)
  2. 違反には高い制裁金が課せられる
  3. 法規制対応であること
    関係者が多いことから、外部弁護士を含むプロジェクトチーム組成が必要
  4. 対応の土台作りが必要
    • データマッピング(種類、処理目的、要求事項)による対応の必要性・状況把握(単なる現状分析に留まらない)
    • ギャップ分析による未対応状況の把握と優先順位付け
  5. ITシステム改修・構築、組織体制構築には時間(1~2年)とコストがかかる

11 EEA内に拠点を持つ日本企業とGDPR

GDPRの適用

  • 個人データのEEA内処理のみならず、EEA外移転の観点からも、GDPRが適用される
  • 個人データのEEA外移転(保護措置があると認定されていない日本への移転)があるため、それを適法とするための標準契約条項(SCC)の締結もしくは拘束的企業準則(BCR)の承認が必要

GDPRが適用される管理者としての義務

  1. 代理人の選任
    EEA内に拠点を持てば自らが管理者となるため代理人の選任義務はない
  2. データ保護責任者(DPO)の選任
    DPO選任の必要性大(DPO選任要件の①~③に該当するとは考えられないが、より広範に選任義務を課す国内法により選任が必要となる可能性大)
  3. 個人データ入手(移転)の適法化
    「データ提供個人が、個人データ保護の適切な保護措置が講じられていると欧州委員会が認定した国以外の国である日本に自分の個人情報が移転することを通知され、その移転を明確に同意した」といえるような販売形態を整える必要がある
  4. 個人データ処理の適法化
    • GDPR第5条の処理6原則を遵守し、その遵守を証明できる組織、システムの構築が必要(前述「7」,「8」、「9」)
    • 従業員個人データ処理には要注意
      監督機関は、従業員との同意の「任意性」について非常に懐疑的な立場
      管理者の正当な利益のための処理であることの証明が必要
      3テスト(必要性、補完性、比例制)および透明性(十分な情報提供)の厳密確認 第6条1項(f)

12 EEA内に拠点を持たない日本企業とGDPR

GDPRの適用

  1. EEAのデータ主体に対し商品又はサービスを提供していると想定されれば、GDPRが直接適用される可能性大
  2. EEA内個人データの入手形態により、対応方法が異なる
    • EEA内管理者(処理者)の起用がある場合
      個人データのEEA外移転(保護措置があると認定されていない日本への移転)があるため、それを適法とするために標準契約条項(SCC)の締結もしくは拘束的企業準則(BCR)の承認が必要となる。
    • 当該企業自体が個人データを入手する場合
      GDPRが域外適用され、EEAに拠点なくともGDPRが適用される管理者(処理者)となる

GDPRが適用される管理者としての義務

  1. 代理人の選任
    明確にEEAを対象にしたサービスを提供し、定期的なデータ処理が行われば、EEA内に拠点を設ける代理人の選任が必要
    代理人を選任しなくてもよい適用外措置
  • 「処理が不定期である」、「処理に大規模な特別カテゴリー(人種、思想、宗教等)のデータが含まれない」かつ「処理により個人の権利や自由を危険にさらす可能性が低いと判断できる」場合には代理人の選任は不要
  • EEAを対象とするサービス提供であることが明確でなく、特に小規模で運営しているような場合の扱いについいては不明点が多い(ガイドラインの確認必要)
  • データ保護責任者(DPO)の選任
    DPOの選任は不要と思われる
    (DPO選任要件の①~③に該当するとは考えられず、EEA内に拠点を持たないことからより広範に選任義務を課す国内法も適用されない)
  • 個人データ入手(移転)の適法化
    「データ提供個人が、個人データ保護の適切な保護措置が講じられていると欧州委員会が認定した国以外の国である日本に自分の個人情報が移転することを通知され、その移転を明確に同意した」といえるような販売形態を整える必要がある
  • 個人データ処理の適法化
    GDPR第5条の処理6原則を遵守し、その遵守を証明できる組織、システムの構築が必要(前述「7」、「8」、「9」)
  • EU 代理人選任義務の有無

    筆者プロフィール

    榎本司(株式会社GRCS取締役兼COO)

    金融系SIerでの営業、事業開発、日本ヒューレットパッカードにおいてセキュリティソリューションのビジネス開発及びアライアンス、クロスビジネスユニットで日本をリードし、また、インフラソリューションのビジネス開発にも従事。当社においてはCOOとして、ビジネスオペレーション、ビジネス戦略、ソリューション開発、新規ビジネス開発等のリードを行う。

    GRCS社がカバーするGDPR対応支援サービス
    プロセス 現地調査 → 対応計画 → GDPR対策 → GDPR運用
    コンサルティング EU法弁護士 アセスメントおよびリーガルアドバイス
    • EU個人データ移行支援
    • GDPRコンサルティングおよび支援(文書作成支援、体制デザイン、計画支援)
    • 各種セキュリティソリューション
    • 各種セキュリティソリューション運用支援
    支援サービス GDPR運用支援クラウドサービス開発中「GDPR NT(仮)」
    GDPR対応支援サービスに関して

    参考文献

    1. NTTデータ先端技術株式会社「EU一般データ保護規則(GDPR)の概要」
    2. 【海外識者シリーズ】杉本武重氏(全6回)
      第1回 EUで始まる新しい一般データ保護規則「GDPR」とは?
      第2回 新しい一般データ保護規則概説(2)「GDPRの適用範囲と執行制度」
      第3回 新しい一般データ保護規則概説(3)「個人データ処理の要件および個人データのセキュリティ」
    3. JETRO
      「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
      「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
    4. JIPDEC
      「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」

    関連記事

    【特別連載】施行がせまる「EU一般データ保護規則(GDPR)」を学ぼう!