特集

「EU一般データ保護規則(GDPR)」入門編

2018年5月17日、トレンドマイクロ社は、「EU一般データ保護規則(GDPR)対応に関する実態調査」の結果を発表しました。それによると、GDPRの内容について「十分理解している」と回答した割合は全体の10.0%だったのに対して、「名前だけは知っている」または「知らない」と回答した割合は66.5%だったとのことで、認知や理解が十分に進んでいない実態が明らかになったとしています。

今回はそのGDPRに関して簡単にまとめたいと思います。

# 本記事投稿時点において、日本の個人情報保護委員会と欧州委員会が個人情報保護水準の「十分性認定」の承認を検討しており、承認後は運用が変わる可能性がありますのでご注意ください。

GDPRとは2018年5月25日に運用が開始される法令で、EEA(欧州経済領域)における新しい個人情報の枠組みで、EEA圏内の個人に関する個人データの「処理」と「移転」を規制する法令を指します。

「処理」とは、
個人データに対して行う何らかの作業のことです。
具体的には、取得・保存・変更・利用・加工(整列、構造化、編集等を含む)・参照・開示・整列・消去といったさまざまな操作を含みます。

一方、「移転」とは、
個人データをEEA域外の第三国に移送することを指します。
この「移転」ですが、同一法人内での個人データ移転(例えば、日本法人A社の本店→日本法人A社のドイツ支店)も規制の対象となり、日本の個人情報保護法24条「外国にある第三者への提供」とは大きく異なっていることに注意が必要です。

それでは、(EEA域外に存在する)日本の企業/団体が、EEA域内の個人データを「処理」または「移転」するにはどのような手法があるのでしょうか?
現時点においては、主に次の3つの手法があります。

(1)本人から同意を得る
(2)個人データの移送元とSCC(標準契約条項)を締結する ※移転の場合
(3)事業グループ間でBCR(拘束的企業準則)を取得する ※移転の場合

大量の個人データを「移転」する場合等、すべての人から同意を得ることは不可能なケースが多く、「SCC」「BCR」を検討することが現実的です。

また、EEA圏内に属する個人データを取り扱うにあたっては上記(1)~(3)のみでは不十分で、例えば「情報漏えいが発生した場合、72時間以内の通知」「忘れられる権利」「最新テクノロジーの採用」などの管理措置が求められ、違反すると膨大な制約金が徴収されます。

例えば、「情報漏えいが発生した場合、72時間以内の通知」に違反したケースでは、「1,000万ユーロ(約13億円)、または、前年度の売上高の2%のいずれか高い方」という制約金が徴収されることとなり、企業は多大なダメージを受けることが容易に想像されます。

 

(参考資料)
・「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
・「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html