アドバイザリー
GDPRコラム

第3回 2018年5月の施行に向け必要な取組(基礎編)~要求事項の理解

2017.04.25

日本における改正個人情報保護法(以下、「日本改正法」という)が本年(2017年)5月30日に施行となり、企業の情報管理に携わる実務担当者にとっては自社の社内対応について、対応完了の目途が立ち始めている頃合いかと思います。しかし、それも束の間、海外の法規制に目を向けると来年(2018年)5月25日には新たにEU一般データ保護規則(General Data Protection Regulation:GDPR)が施行されることになっています。

日本改正法と比較して、GDPRには主に3点の特徴があります。

  • ① EU域外国への法適用(域外適用・データ移転規制)
  • ② 日本改正法より強化されている要求事項
  • ③ 高額な制裁金

① EU域外国への法適用(域外適用・データ移転規制)

GDPRは、日本企業にとって遠くの海の向こうの法律ですが、例えば、EU居住者に対し直接商品やサービスを提供するにあたり個人データを取扱う場合、EU域外の事業者であっても同法の適用対象となります(GDPR第3条「域外適用」)。

また、EU域内企業からEU域外の第三国へ個人データを持ち出すことは原則禁止されており、所定の対応が必要です(GDPR第44条「データ移転」)。

その他、日本企業がGDPRの影響を受ける例として次の場合が挙げられ、企業規模や業種に関係なく適用されます。

表:日本企業がGDPRの影響を受ける主な例とその影響範囲

(下の図をクリックすると拡大します)

② 日本改正法より強化されている要求事項

GDPRには、日本改正法には規定されていない、もしくは日本改正法に比べて規制が強化されている、例えば次のような要求事項があります。詳細については、今後のコラムにて紹介してきます。

  • EU域外への個人データの移転規制
  • 情報侵害時の72時間以内の当局報告
  • GDPRに準拠していることの説明責任
  • データ保護責任者(DPO)の設置
  • 個人情報保護に関する新たな権利(同意の撤回、機械的な処理の拒否等)への対応
  • 大規模、リスクを伴うデータ処理におけるプライバシー保護評価(PIA)の実施
  • プライバシー・バイ・デザインの導入

③ 高額な制裁金

GDPRでは、違反時の制裁金が、最大で、全世界売上高(年間)の4%、または2,000万 ユーロの高い方とされています。(GDPRコラム【第2回】参照)

日本では今回の改正法においてようやく、「データベース提供罪」(第83条)が規定されましたが、従来法では、事実上、違反が発覚した場合でも制裁金が科されることはありませんでした。一方、EU域内では、例えば、2011年に発生したハッキングによるデータ侵害事案において、英国内の日系企業に対し20万ポンド超の制裁金が課せられる等、現状も違反時の罰則適用は珍しいことではありません。GDPRによるさらなる制裁金の高額化が、グローバル企業を中心に、個人情報保護へのコンプライアンス意識強化の強い動機づけとなっています。

GDPR対応では、こうした特徴を理解したうえで「なにをどこまで」取組むかを企業が検討しながら進める必要があります。グローバルにビジネスを展開する企業の場合、GDPRの影響を受けるビジネスの特定や、そして、その影響が広範囲にわたる場合の対応に、国境を越えた取組が求められます。

第4回目以降のGDPRコラムでは、序盤は基礎編としてGDPRの用語解説や概念を中心に、中盤以降は応用編として実務対応に関する内容を掲載予定です。

次回は、GDPRの対象となる個人情報と取扱いについてご紹介します。

GDPRコラム

【関連ページ】




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?