EU一般データ保護規則:General Data Protection Regulation(GDPR)の概要

株式会社エアー 伊東素能子

概要:GDPRとは

GDPRは、2016年4月14日に欧州議会で可決され、2018年5月25日にEUで施行される新しい個人情報保護を目的とした法規制で、EU域内で取得した個人データの処理と移転に関するルールを定めていす。企業の所在地にかかわらず、EUに住む個人データを扱うあらゆる企業・組織がGDPRの適用対象となります。コンプライアンスに違反にすると、年間売上の4%または2,000万ユーロ(約25億円)のいずれか高いほうを上限とする莫大な額の制裁金が課されるという厳しい法律です。

目的

GDPRは、EUの憲法であるEU基本権憲章によって保護される価値である個人データの保護に対する権利を保護することを目的としています。

対象

EU域内で取得した個人データを処理し、EU域外の第3国に移転する企業・組織。EUに拠点を置かない日本の企業・組織でも、EU市民からデータを収集する場合は、GDPRの適用対象になります。

規則(抜粋)

<個人データの処理>

個人データを処理するに当たり、企業・組織は次のような事項の遵守を求められます。

  • 個人データは、原則として本人(データ主体)の同意なしに処理(収集、保存、変更、閲覧、開示など)することはできない。
  • 個人データの処理にあたっては、適切なセキュリティ措置を実施しなくてはならない
  • 定期的に大量な個人データを扱う企業などでは、データ保護担当者(Data protection Officer:DPOデータガバナンスに責任を持ち、所属する企業のGDPR準拠を徹底にあたる)を任命しなければならない。
  • 個人データの侵害(情報漏えいなど)を検知した場合は、企業・組織は監督機関およびデータ主体に対して、72時間以内の通知しなければならない。

 

<個人データの移転>

EU域内で取得した個人データを、日本などの域外[1]に移転する場合、企業・組織は、拘束的企業準則(Binding Corporate Rules:BCR グループ企業を包括したデータ移転を可能とする)、や標準契約条項(Standard Conrtact Clauses:SCC 個別契約を交わした企業間に適用される)などの手続きを踏む必要がありあます。

 

<基本権の保護(データ主体の権利)>

GDPRではデータ主体の基本的権利の保護という考え方が強く打ち出されています。企業・組織にはデータ主体の権利の尊重が要求されます。例えば次のような事項です。

  • 企業・組織は、個人情報収集時に、自身の身元や連絡先、処理の目的、個人データの目的、保管期間、データ主体の有する権利などについて、わかりやすい表現で通知しなければならない。
  • データ主体は、個人データの訂正・消去・取り扱い制限を要求することができる。
  • データ主体は自分に関わる個人データを、電子ファイルなどの形式で受け取る権利を有する。

 

GDPRでは、このようなルールが全部で173項目の前文とともに99条にわたる規制事項がきめ細かく定められています。

 

制裁金

GDPRに違反した場合、巨額の制裁金が課せられます。違反内容にもより変動しますが、企業の場合、最大、全世界年間売上の4%、または2000万ユーロ(約25億円)のいずれか高い方という非常に高額な制裁金が課される可能性があります。

 

GDPRの遵守のためには、個人情報の漏えい対策の強化は当然として、求めに応じて迅速に個人情報を本人に渡したり、修正や消去ができる仕組みが求められます。

 

国内企業・組織への影響

GDPRは、EUに拠点を持つ場合だけでなく、国内にのみ拠点を持つ場合でも、個人情報を取得した顧客がEU域内に住んでいる場合などには対象になるため注意が必要です。また、営利企業だけでなく、官公庁・自治体などの公的機関やNPOなどの組織も適用対象になります。

日本に本社があり、EUに拠点がある場合、EU域内で働く社員や日本から派遣されている駐在員の情報を本社が取得するときも移転の対象となります。
たとえ現地に事務所が無くてもインターネットなどで顧客情報を取得、移転する場合も適用されますし、企業規模に関わらず中小・零細企業も対象となります。

 

参考:

日本貿易振興機構(ジェトロ)

https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html (ダウンロードできるページ)

「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)

「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)(2017年8月)

初出:株式会社エアー「EU一般データ保護規則『GDPR』とは?」(2017年10月)

————————————————————————————————————

[1]欧州委員会がデータ移転先の第3国が十分なレベルの保護を確保している認めている場合は(十分性認定)手続きなしで移転が可能ですが、日本はまだ認定を受けていないため手続きなどが必要です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

コメント

お名前 *

ウェブサイトURL