<ヨーロッパの個人情報保護法「GDPR」【2】> EU一般データ保護規則「GDPR」と日本のビジネス

2016年4月からEU諸国で適用されているGDPR(EU一般データ保護規則)は、EU諸国やEEA(欧州経済領域)における個人情報保護の、新しい枠組みです。GDPRは、EU諸国で統一された法規制ですが、遠く離れた日本のビジネスに影響はあるのでしょうか?GDPRと日本のビジネスの関わり、GDPR違反にならないための注意点などを、見てみましょう。

 

GDPRによる日本のビジネスへの影響

GDPRは、EUに特化した個人情報保護法に思われがちですが、日本も無関係ではありません。条件次第では、日本の企業であっても、GDPRの対象となります。

(1)EU諸国に営業所・子会社・支店などを有している企業
EU域内に所在する企業は、「管理者」として、GDPR要求事項全般が適用されます。

(2)日本からEU諸国に、商品やサービスを提供している企業
EU域内企業ではなく、日本の法人として、直接EU域内の現地向けに、商品やサービスを提供している企業、その中でもオンラインショッピングサイトを介して、一般消費者への商品販売や、現地取引企業向けのヘルプサイトを設置して、個人情報を収集している企業も「管理者」としてみなされ、GDPRの要求事項が適用されます。

(3)EU諸国からEU諸国域外へ、データ移転を受けている企業
EU域内企業が収集した個人データをアクセスできる状態にあり、EUの現地法人より、日本の本社へ、企業取引先担当リストのデータなどをEmailで送信が可能、もしくは、EUの現地法人の人事システムへ、日本の本社の担当者がアクセスできる状態である場合、日本の本社は、「データ移転」を受ける先の会社として、GDPRの「データ移転に関する規則」が、適用されます。

(4)EU諸国から個人データの取扱いを委託されている企業
EU域内企業から業務委託を受けており、個人情報を収集する立場の管理者に代わって業務を行う場合、個人データの取扱いが含まれている場合、委託されている日本の企業は「処理者」とみなされ、GDPRの中の「処理者に関する規制」の対応が、必要となります。

 

どのような行為が、GDPR違反に該当するのか

では、具体的にどのような行為が、GDPR違反に該当するのでしょうか?違反時の制裁と一緒に、ご紹介します。

<制裁金>
最大で企業の全世界売上高(年間)の2%、または1000万ユーロのうち、いずれか高い方のケース

【違反例】
・個人データの取扱いに関して、適切な技術的、組織的安全対策を実施しなかった場合
・個人データ処理の記録が義務付けられているにもかかわらず、記録を書面で保持しない場合
・情報漏洩などの個人データの侵害が発生したにも関わらず、監督機関に対して通知しなかった場合
・データ保護オフィサー(DPO)の適任が義務を怠り、DPOを任命していない場合

<制裁金>
最大で企業の全世界売上高(年間)4%、または2000万ユーロのうちいずれか高い方のケース

【違反例】
・個人データの処理に関する原則、違法な取扱い、同意に関する条件、およびセンシティブな情報の取扱いを遵守しないかった場合
・個人データの域外移転に関するルールを遵守しなかった場合
・監督機関からの命令に従わなかった場合

 

GDPR違反をしないための注意点

GDPR違反による罰則規定の大きな特徴は、莫大な制裁金にあります。海外では、GDPR違反で、すでに制裁金の支払いを命じられている大手企業も存在します。知らずに違反してしまう前に、GDPRに対応するための注意点を抑えましょう。

・EU域内から自社にアクセスがないかを把握しておく
・EU域内向けた商品の販売、サービスの提供についてGDPRを遵守する
・データベンダーは、EU域内のデータを取扱う際に、データ取得元がGDPRに対応しているかを確認しておく

GDPRでは、cookieやIPアドレスなど、これまで個人情報としては取扱われなかったデータも、個人情報とみなされます。例えば、GDPRを意識せずインバウンド向けの英語サイトを運営し、cookieなどを取得していた場合も個人情報を取り扱っていると見なされ、GDPRのルールに従わなければなりません。

 

GDPRに備えた実務対応

GDPRに備えるために、自社内で実務対応ができるように、準備する必要があります。例えば、すでにEUに支店や営業所があり、現地の人間を従業員として雇用して営業をしているような企業は、1995年に制定されている「EUデータ保護指令」に沿った個人情報保護の管理施策で運用しているため、「EUデータ保護指令」対応から「GDPR」対応へシフトさせます。GDPRは、EUデータ保護指令よりも厳格化しているので、単なるシフトではなく、これまでよりも慎重に対応しなくてはなりません。海外に拠点を持っていない企業でも、日本のWebサイトを経由して個人情報を収集する場合も、GDPRのルールに沿って運用します。

このようにEU枠内の個人情報を取扱う場合は、経営陣や法務部門としっかり連携を取り、社内ルールの見直し、データ保護責任者、管理者の選任などの管理体制の強化な実務での対応をしっかりとしておくことがポイントとなります。

 

GDPRをビジネスに生かすにはセミナーがおすすめ

EU諸国でインターネットビジネスを展開するには、GDPRの知識は必須です。セミナーでは、GDPRのルールや、実務対応の対策などを、わかりやすく学習することができます。より広く、より深くGDPRを理解し、個人情報保護についてグローバルな知見を得ましょう。

————————

【お薦めWEBセミナー】
GDPR対応 プライバシーポリシー等 雛形・書式集(日本語版・英語版)も提供!
日経2019年弁護士ランキング「データ関連分野」第5位 田中浩之 弁護士登壇!

『GDPR(欧州一般データ保護規則)の基礎と具体的な実務対策』
講師:弁護士 田中浩之 氏
主催:森・濱田松本法律事務所 日本国及び米国ニューヨーク州 パートナー
>>>詳しい内容&申込はこちらから

————————

>>>最新のビジネスセミナーを探すなら『ビジネスクラス・セミナー』
※サイトにアクセスしたら、「GDPR」でフリーワード検索してください。

>>>WEBセミナーで受講したい方なら『Deliveru(デリバル)』
※サイトにアクセスしたら、「GDPR」でフリーワード検索してください。

 

【参考サイト】
EY
>>>EU一般データ保護規則(GDPR)の概要と企業た対応すべき事項

Marketo
>>>GDPR(EU一般データ保護規則)で抑えておくべきポイント

ビジネスIT
>>>GDPR(EU一般データ保護規則)とは何か?概要と対応方法をわかりやすく解説する

PLAN-B
>>>今さら人に聞けない”GDPR”とは|日本への影響と対応も合わせて解説