GDPRの適用開始に向けた動向

Ⅰ  はじめに

Ⅱ  最近の動向

1. Brexitの手続き開始

先日EU基本条約第50条が発動され、英国のEU離脱（Brexit）の手続きが開始されました。BrexitのGDPRへの影響については、英国に拠点を置く企業の懸念事項の一つかと思いますが、次の理由から影響は少ないと考えられています。

よって、英国居住者のデータを扱う企業は、Brexitに関係なくGDPRを遵守することが求められます。

2. ガイドラインの公布

現在までのところ、第29条作業部会により次のトピックについてガイドラインが出されています。

また、以下のトピックについても、17年度中にガイドラインが出されることが公表されています。

同意については、英国の監督機関である情報コミッショナーオフィス（ICO）がガイダンスの草案を近頃発表しましたが、これらのガイダンスが出されることでGDPRの要求事項が明確になり、企業は対策を講じやすくなると期待されています。

Ⅲ GDPRへの対応

1. 企業の反応

EYと国際プライバシープロフェッショナル協会（IAPP）が各企業のプライバシー専門家を対象に共同で実施したサーベイの結果、GDPRの要求事項で企業にとって対応が最も難しいと考えられているのは、1位から3位の順に、忘れられる権利^※1への対応、データポータビリティ^※2への対応、明確な同意の取得^※3となっています（＜図1＞参照）。

忘れられる権利への対応として、まず、バックアップも含め、個人データがどこにどのように保持されているのか把握し、要求があった場合に適宜データの削除ができる状態にしておくことが重要となります。

2. データの移転

＜図1＞の4位に上げられているデータの移転に関しては、日系企業の最も大きな懸念事項の一つかと思います。GDPRでは業務の形態にかかわらず、欧州経済地域（EEA）外に個人データを移転することは以下の例外事項を除き、原則として禁止されています。これには、例えばEUに拠点を置く子会社から日本本社へ従業員に関わる個人データを送る行為も含まれます。

GDPRではデータの処理と移転に関し、前記のような法的根拠を確立することが必要になりますが、それには「同意」以外の方法を用いた方がよいとされています。これは、例えば企業が社員の個人データを処理・移転する際に用いられる「同意」が、本当に本人の自由意志で得られたものかを判断するのが難しいためです。

Ⅳ おわりに

企業が対策を始める場合、ギャップアナリシスやマチュリティーアセスメントなど、現状分析から行っているところが多く見られます。現状分析の結果を元にGDPRの要求事項とのギャップを割り出し、対策を講じていくやり方が効率的かと思います。18年5月までに対応を済ませて運用を開始できるよう、早めに準備をスタートさせることをお勧めします。