GDPR（EU一般データ保護規則）で抑えておくべきポイント｜マルケト

はじめに

2018年5月25日に施行が予定される「一般データ保護規則（GDPR）」。施行まで1年を切り、グローバルに事業を展開する当社のお客様からもGDPRに向けて、何をすれば良いのか、お問い合わせいただくことが増えてきました。

そこで、本記事ではGDPRに関する主要なポイントを整理し、企業の皆さまがどのような点を押さえておけば良いのかをご説明します。

※ GDPRについて学ぶセミナーを6月12日（火）に開催致します。この機会にぜひご参加ください。

GDPRとは

欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組み。「EU一般データ保護規則」（GDPR：General Data Protection Regulation）が正式名称です。

グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっていますが、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まっている現状があります。

1995年には、EUデータ保護指令が策定されていましたが、それに代わる、より厳格なものとしてGDPRは発効されました。EU（欧州連合）内のすべての個人（市民と居住者）のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。GDPRは、2012年に立案、2016年4月に採択され、2018年5月25日に施行される予定で、個人データを収集、処理をする事業者に対して、多くの義務が課されることになります。

また、EUデータ保護指令は各国での法規定は加盟国ごとにバラバラで良い「指令（Directive）」でしたが、GDPRは「規則（Regulation）」ですので、全てのEU加盟国に共通の法規則として適用される点が大きな違いです。

GDPRの理解で押さえるべきポイント

それではGDPRを理解する上で必要になるポイントを一つずつ見ていきましょう。

【対処となるデータ】

個人データ（氏名やクレジットカード番号）。企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外となる。

【適用対象】

EU内に拠点を置く、データ管理者（EU居住者からデータを収集する組織）、または、処理者（データ管理者の委託先としてデータを処理する組織）、または、データの主体（個人）。EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。

【義務内容】

＜個人情報の処理＞

• 処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する
• 処理対象の個人データおよびその処理過程を特定しなければならない
• 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
• 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
• 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
• 個人データの侵害（情報漏えい）が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
• 定期的に大量の個人データを取扱う組織は、データ保護責任者（Data Protection Officer）や欧州における代理人を任命しなければならない。

＜個人情報の移転＞

• EEA（欧州経済領域）の域内から域外（第三国）への個人データの移転は原則として禁止
• 例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有していると認められていない国への情報移転は、

1. 本人同意を得る
2. 拘束的企業準則（binding corporate rules）を策定する
3. 標準契約条項（SCC：Standard Contractual Clauses）を締結する

のいずれかの要件を満たしに行く必要がある。

※今年に入ってから楽天、IIJが拘束的企業準則を策定して、公表したことがニュースになりました。
ニュース解説 - EUデータ保護規則への対応急ぐ、楽天とIIJが包括的な認可取得：ITpro

【制裁】

上記のGDPRで定められた義務内容に違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロ（1ユーロ125円とすると25億円）のどちらか高い方が制裁金として課される。（「全世界売上高」というのはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることを意味する。）

GDPRの影響を受ける日本の組織

日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。

1. EUに子会社、支店、営業所、駐在員事務所を有している
2. 日本からEUに商品やサービスを提供している
3. EUから個人データの処理について委託を受けている（データセンター事業者やクラウドベンダーなど）

例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行を前に、厳格化に向けた追加対応が必要です。

また、海外に拠点を持っていない場合でも、EU居住者が日本のWebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。

EU域内の個人データを扱う可能性がある場合、経営層や法務部門と連携し、社内ルールの見直しやデータ保護責任者の選任などの管理体制の強化、個人データを処理するシステムに対しての安全対策を行う必要が出てくるでしょう。

GDPRへの対応にあたり、詳細な情報は日本貿易振興機構（ジェトロ）が発行するEU一般データ保護規則（GDPR）に関わる実務ハンドブック（入門編）が参考になります。また、PwC JapanやDeloitteトーマツなどの企業が、GDPRにおける必要な対策の策定・実施の支援、管理態勢とシステムの整備、その後の運用改善を図るサービスを提供しています。社内の各部門だけでなく、外部の専門家の力を使いながら、十分な体制・ルールを整えていきましょう。

※ GDPRについて学ぶセミナーを6月12日（火）に開催致します。この機会にぜひご参加ください。