GTM-MML4VXJ
Skip to main content

富士通マーケティング

English

Japan

  1. ホーム >
  2. ICTのmikata >
  3. コラム >
  4. 欧州連合における個人情報保護の枠組みGDPR、その現状と対策のポイント

欧州連合における個人情報保護の枠組みGDPR、
その現状と対策のポイント

沢葦夫 氏

2017年08月01日更新

イメージ GDPR(General Data Protection Regulation:一般データ保護規則)の話題が最近増えてきましたが、日本企業は海外に比べ、この欧州の個人情報保護法への対応が遅れていると言われています。GDPRは欧州の法律ですが、その地域在住の消費者個人に限らず、支店や系列会社、協力先の企業の社員にまで適用範囲が及ぶため、自社には関係ないと決めつけないほうがいいかもしれません。日本の個人情報保護法より厳しく、罰則の適用もありえるため、訪日旅客と関係のあるサービス業でも一読しておくに越したことはないでしょう。わかりやすく解説してみました。

GDPRとは

GDPRの概要

  1. 2016年5月4日付EU官報に掲載、同年5月24日に発効、行政罰を伴う適用開始は2018年5月25日であり、ここからが実質の施行日となる。
  2. EUを含む欧州経済領域(EEA:EU加盟国28カ国+アイスランド、リヒテンシュタイン、ノルウェー)域内で取得した「氏名」「メールドレス」「クレジットカード番号」などの個人データをEEA域外に移転することを原則禁止とする。「個人」とは域内所在者のほか、現地日系企業の現地採用従業員および日本から派遣される駐在員も含まれる点に注意。
  3. 個人データの範囲は、職業上の電子メールアドレス、オンライン識別子(IPアドレス/クッキー識別子)、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因も含まれる。
  4. EEA域内の現地法人・支店・駐在員を置くすべての企業・団体・機関が対象。
  5. EEA域内に上記支店などを置かない企業でも、インターネット取引などで域内における所在者の個人情報を取得・移転する場合は適用対象となる。
  6. 個人情報の移転が適法となるのは、十分性が認められる国・地域であるか、適切な保護措置を取った場合とされるが、十分性が認められた国は少なく、日本企業は十分性が認められていないため、保護措置を適切に施す必要がある。
  7. 違反の場合の制裁金は、全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方など。
  8. サイバーアタックなどで情報漏えいが発生したときの当局への報告や、本人の求めに応じた個人情報の訂正などを怠った場合も制裁金の対象となることがある。

個人情報保護法との違い

前段に記述したとおり、日本では個人情報の概念は氏名や住所などその人を特定できる情報という考え方になりますが、GDPRではIDなど、照合しないと個人が特定できないようなものも対象とされる点に注意が必要です。また、履歴データなども個人名がなければ問題なさそうに思えますが、GDPRではこれも個人情報に該当します。

GDPRが日本の企業に及ぼす影響

日本国内では本社と支店や系列企業の間での個人情報の移転は、同じ企業内のセキュリティ措置で保護されていれば問題はありません。しかし、GDPR施行下では支店や系列企業内であってもEU域内から個人情報を移転することは原則できません。ディスプレイで閲覧できる場合も移転とみなされる点に注意したいところです。

大きな影響を受けるのは、EUを含めたEEA域内に支店や営業所、系列企業などを持つグローバル企業でしょう。現地採用の社員の個人情報はもちろん、日本から出向している社員もEEA域内の事業所に勤務した場合は対象となるため、扱いをルールに従ったものにしなければなりません。

海外に拠点を持つグローバル企業に限らず、EEA域内の法人や団体とパートナー関係にある場合も注意しなければなりません。GDPRの概要にも示したとおり、日本のECサイトからEEA域内の在住者が購入をした場合も対象となるので、技術提携や販売パートナーのような関係の企業との間においても十分な配慮が求められます。

日本企業の対応策

日本とは個人情報の定義や考え方が異なる点に留意し、プライバシーポリシーに反映させる必要があります。実務上、EU域内の個人情報を移転する際は、十分性があると認められていない日本では企業ごとに以下の手続きをしなければなりません。

  1. 「拘束的企業準則BCR(Binding Corporate Rules)」に準拠したルールを文書化して、EUのデータ保護機関から承認を得る。時間と費用を要するが承認されれば、事業グループ内での地域を超えた個人情報の移動が、ルールに従った範囲で可能となる。
  2. 「標準契約条項SCC(Standard Contractual Clauses)」はデータの移転を案件単位にして結ぶもので、欧州委員会で決定された契約書のひな型であり、当事者間でデータ移転契約として締結。契約に即した履行体制が敷かれていることが前提である。EU各国で条件が異なるため、それぞれで事前承認取得などの作業が求められる。

GDPRについてまとめてみました。実質の施行となる2018年5月までに残された期間は余裕があるとはいえず、この直前や施行されてから必要性に気づくのでは遅すぎます。訪日旅客が増え、東京オリンピックも近いため、国内だけでサービス業を営む会社でもGDPRの内容を確認しておくことをお勧めします。

著者プロフィール

沢 葦夫 氏

沢 葦夫 氏

ICTアナリストの経験を活かし国内外のマーケットや技術動向について寄稿多数。近年は消費財や消費者向けサービスにも研究テーマを拡大、社会を対象とした記事執筆まで手掛けています。業界の経営企画部門や経営者向けの産業分析レポートのほか、アンケートの集計分析が得意分野です。

関連情報

参考リンク

 

 

お問い合わせ

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-835-554 お客様総合センター

受付時間 9時から17時30分まで
(土日、祝日及び当社指定の休業日を除く)
[注] お問い合わせ内容の正確な把握、およびお客様サービス向上のため、お客様との会話を記録・録音させて頂く場合がありますので、予めご了承ください。