アドバイザリー
GDPRコラム

第11回 GDPR対応のための規程類の整備

2018.01.23

前回のコラムでは、EU域外へのデータ移転規制への対応についてご紹介しました。
今回は、GDPR対応のための規程類の整備についてご紹介します。

1.GDPR対応に必要な規程対応

GDPRはEU所在者の個人データの取扱いに関する規制ですので、規程類の整備にあたっては、日本の個人情報保護法対応と同様のアプローチが有効であると考えられます。個人情報保護法における規程対応としては、社外向けには個人情報保護に関する方針(プライバシーポリシー)を公表し、社内向けには左記方針に基づき、実務対応のための個人情報保護に関する規程やマニュアル類の整備を進める手法が一般的です。

GDPRの適用対象となるEU所在者の個人データを取扱っている日本企業は、今後、GDPRで求められている事項をプライバシーポリシー等により公表し、あわせて実務対応のための社内規程類の整備に向けて準備を進めていく必要があります。


2.GDPRの規程化に向けた作業

次に、規定化に向けた作業を以下フローに示します。

GDPR規定化に向けた作業フロー


2-1.規定化すべき要件を整理

まず、規定化すべきGDPRの要求事項を特定します。たとえば、第5条の以下事項のように対応が必須となる事項を整理します。

  • 目的を特定した収集
  • データ最小化の原則
  • 正確性の原則
  • 保存の制限の原則

そのうえで、現状調査の結果(第9回 グローバル企業におけるGDPR対応の進め方(②影響調査編) 参照)に基づき、自社にとって影響がない条文があるかを精査します。例えば、第8条の子供の同意に関する条件について、16歳未満の子供に関するデータを明らかに取り扱わないことが判明している場合、規定化の対象外とするか検討します。


2-2.既存の規程類を活用できるか検討

次に、既存の規程類に影響があるかを調査します。また、GDPR対応に活用できる既存の規程類があるかを検討します。例えば、日本の個人情報保護法対応で整備済みの開示請求等に関する規程や、Cookieポリシー等が活用できると思料されます。


2-3.GDPR対応規程を策定

次に、2-1で整理された要求事項を盛り込んだ規程を策定します。 例えば、他規程への影響確認、社内稟議等、規程案の作成以外に必要となる作業・期間も考慮します。

また、買収した海外企業や、海外子会社の場合、それらの会社の規程体系や構造が日本本社とは異なる可能性があり、各社との調整が必要になることも考えられます。


2-4.海外子会社等への展開

EUに子会社等がある場合、もしくはEU域外であってもEU所在者の個人データを取扱う海外子会社等(北米・アジア等)がある場合には、それらの拠点においても規程類を整備する必要があります。日本本社で策定した規程類を海外子会社等に展開するか、各海外子会社等に対応を委ねるか等、海外子会社ガバナンス方針を検討します。前者の利点は、規程の改定やメンテナンスが容易であること、後者の利点は、各社の実態に則してカスタマイズできることが考えられます。どちらの対応を選択したとしても、対象拠点が規程を整備し、それに基づき運用する段階に進むまで、各工程をモニタリングし、確実なGDPR対応につなげることが望まれます。

GDPR対応は、日本の個人情報保護法対応と当然に重複する部分があるため、国際部門や経営企画部門だけでなく、個人情報管理部門と連携して対応を進めることが望まれます。


以上、GDPR対応のための規程類の整備についてご紹介しました。次回のコラムでは、「情報侵害時の監督当局への報告」に関してご紹介します。


GDPRコラム

【関連ページ】



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?