EU一般データ保護規則(GDPR)は5月25日施行!その内容は?

スポンサーリンク



みなさん、こんにちは

2018年5月25日にEU一般データ保護規則(GDPR)が実質的に施行されます。

この規則は2016年5月24日に発効されました。

では、そのGDPRって何か?

EUの規則がなぜ日本に関係あるの?

このGDPRという規則は、EU域内の個人情報を扱う全世界の企業(日本含む)がルールの対象となります。つまりEU域内と個人情報(データ)をやり取りする企業、機関、団体は全て対象になります。

GDPRではEU域内(EEA:EU加盟28か国+ノルウェー、アイスランド、リヒテンシュタイン)から外へのデータ移転は原則として違法です。但し、可能な場合(適法化)もあります。

また違反時に課せられる高額な制裁金(億単位にも)は中小企業や公的機関も例外ではありません。

では、このGDPRでは、個人データをどのように処理すれば良いのかが定めてあります。そこから説明し、日本企業の場合などを説明していきます。

gdpr-20180525-eu-japan-taiou

出典:EC’s Infographic (日本語仮訳付きPDF)より

スポンサーリンク



個人データの適法な処理の要件

gdpr-20180525-eu-japan-taiou

出所:ジェトロ調査レポート「EU一般データ保護規則(GDPR)に関わるハンドブック(入門編)」

日本では、「JSQ15001 2006」の内容とほぼ該当しますが、日本の個人情報保護法では低いレベルのものです。

「個人データ」

ここでいう「個人データ」とは、「識別された又は識別され得るnatural person(自然人)に関するあらゆる情報」を指します。(例:氏名、識別番号、位置データ、IPアドレス・クッキー識別子など)

gdpr-20180525-eu-japan-taiou

出典:EC’s Infographic (日本語仮訳付きPDF)より

ここで「同意」という表現がでてきますので、次に『個人データ主体の同意を得たと認められる条件』について。

個人データ主体の同意を得たと認められる条件

gdpr-20180525-eu-japan-taiou

出所:ジェトロ調査レポート「EU一般データ保護規則(GDPR)に関わるハンドブック(入門編)」

日本企業でGDPRの適用範囲

1)EU域内に子会社や支店などを有している場合

2)EU域内の個人に対して商品やサービスを提供している場合(ネット販売含む)

3)EU域内の個人の行動を監視する場合(例えば、アプリやネットにおける個人の行動履歴や購買履歴の追跡など)

EEA外へのデータ移転の適法化

GDPRではEEA外へのデータ移転は原則として違法ですが、以下の2項目の場合については移転可能となります。(ジェトロセンサー2017年10月号より)

a.「十分性認定」(EU が十分な水準の個人データ保護がなされていると認定した国に与えられる)が与えられた国へのデータ移転。

b. それ以外の国・地域への移転に関して、例外的に適法と見なされる方法として定められた三つの方法のいずれかをとった場合。すなわち、「明らかな同意」による適法化、標準契約条項(SCC)による適法化、拘束的企業準則(BCR)による適法化である。

日本は a.に該当しませんので、b.で対応しなければなりません。

つまり、以下の対応が必要になります。

  1. 「明らかな同意」:本人が明示的に同意していること
  2. 標準契約条項(SCC):SCCとは、欧州委員会(以下、欧州委)によって決定されたデータ移転の契約書を締結するという法的手段 である。
  3. 拘束的企業準則(BCR):BCRは、GDPRの対象である個人データ が、十分なレベルの保護が確保されていると見なされな いEEA外の国にEEA内から移転される場合に、当該個 人データに対して適切な保護を提供する法的手段である。 

まとめ

ネット上では、GDPRの対応手順などが多く掲載されていますが、急な対応では難しいと思われます。

取引先や個人のお客様がEU域内(EEA)にある場合は、早急な対応が必要なので、コンサルティング会社などに依頼するのも良いかと思いますが、

まずはJISQ15001 2006若しくはJISQ15001 2017で対応し、プライバシーマーク取得するのが手をつけやすいと思います。

日本はまだ「十分性認定」(EU が十分な水準の個人データ保護がなされていると認定した国に与えられる)が与えられた国」にはなっていませんが、2017年欧州委員会と安倍首相が共同声明「個人データの越境移転に関する政治宣言」を発表しており、日本とEU双方の個人情報保護制度の水準について相互認証ができるように協議しています。

スポンサーリンク






シェアする

  • このエントリーをはてなブックマークに追加

フォローする