GDPRに違反したら巨額の制裁金が!

みなさんは「GDPR」をご存知でしょうか?

GDPRとは「General Data Protection Regulation」の略で、2018年5月25日にEUで施行される「一般データ保護規則」のことです。日本でいうところの「個人情報保護法」のようなものですが、日本の法規制よりも厳しく、EU域外の日本企業であっても適用されるため注意が必要です。

GDPRはEU域内で取得した個人情報を適切に管理することと、EU域外に移転することを原則として禁止しており、現地従業員の情報や日本から派遣されている駐在員の情報も対象となるため注意が必要です。また、現地に事務所が無くてもインターネットなどで顧客情報を取得、移転する場合も適用されます。企業規模に関わらず、中小・零細企業も対象となります。「日本企業だから関係ない」、や「知らなかった」では済まされないので注意が必要です。

■適用される企業

・EUに支店、営業所などの拠点を持つ企業

・EUに商品やサービスを提供している企業

・EUから個人情報の処理について委託されている企業

EUの新個人情報漏洩規制 GDPR

GDPRでは、日本なら個人情報に当てはまらないIPアドレスも個人情報として扱われます。これは、単体情報では個人識別ができなくても、複数の情報を組み合わせることで識別が可能となる場合には個人情報とみなすという考えによるものです。また、データをローカルネットワーク内で暗号化することや、暗号化されたデータと別に復号鍵を保管することが規定されており、大量の個人情報を扱う企業の場合はDPO(データ保護責任者)の設置が必要とされるなど厳しい内容となっています。

必要とわかっていても、専門の担当者がいない、予算が足りないなどの理由でしばしば後回しになりがちなセキュリティ対策ですが、法令の施行であれば対応せざるを得ないでしょう。というのも、GDPRでは違反した場合、巨額の制裁金が課せられるからです。違反内容にもよりますが、企業の場合、年間売上の4%、または2000万ユーロ(約26億円)のいずれか高い方という非常に高額な制裁金が課される可能性があるのです。

GDPRはEU内の個人情報保護を強化することが目的とされており、事前警告なしに制裁金が課せられるわけではありませんが、もし罰則が適用になったら巨額の制裁金によって企業経営が傾く可能性が無いとは言えません。1年を切ったとはいえ、まだ時間は残っています。後になって「対策しておけばよかった」とならないように、調査、準備を始めてはいかがでしょうか。

関連製品:個人情報検索ソフト「PCFILTER」