GDPRの日本企業への影響

ご存知ですか?
2018年5月25日に施行される
EU一般データ保護規則(GDPR)
の日本企業への影響

国内企業だから関係ない?
EU支店は無いので影響なし?

いいえ、日本企業も対象になります !

概要

GDPRは「General Data Protection Regulation」の略で、2018年5月25日にEUで施行される「一般データ保護規則」のことです。日本でいうところの「個人情報保護法」のようなものですが、日本の法規制よりも厳しい内容となっています。

対象

GDPRではEU域内で取得した個人情報を適切に管理することと、EU域外に移転することを原則禁止することを規定しており、現地従業員の情報や日本から派遣されている駐在員の情報も対象となります。たとえ現地に事務所が無くてもインターネットなどで顧客情報を取得、移転する場合も適用されますし、企業規模に関わらず中小・零細企業も対象となります。

制裁

GDPRでは違反した場合、巨額の制裁金が課せられます。違反内容にもよりますが、企業の場合、年間売上の4%、または2000万ユーロ(約26億円)のいずれか高い方という非常に高額な制裁金が課される可能性があります。

これは、データ処理にあたり本人の同意を得ていないような最も深刻な違反に対して課すことができる最大の制裁金です。制裁金については段階的なアプローチがあります。

個人情報の保護と通知義務

データ管理者は個人情報の侵害発生後すみやかに、可能であれば72時間以内に監督機関に通知しなければならず、また、データ主体は管理者に対してそれらの個人データの目的、個人データの種類、使用目的の確認、個人データの訂正・消去・取り扱い制限を要求する権利を持ちます。

データ主体のアクセス権

データ主体は管理者に対してそれらの個人情報の目的、個人情報の種類、使用目的の確認、個人情報の訂正・消去・取り扱い制限を要求する権利を持ちます

忘れられる権利

忘れられる権利はデータ消去権とも呼ばれ、データ主体による不服申し立てや個人情報の取り扱いが不法だった場合などに管理者に自分の個人情報を消去させることができます。

このように個人情報の漏洩対策の強化は当然として、求めに応じて個人情報の確実な消去ができる仕組みも求められますので注意が必要です。

■ 注意が必要なケース

・個人情報を含むデータを電子メールで日本に送る

 例えば、EU域内に勤務する従業員の個人情報を含むデータを電子メールで日本に送る場合。

 

EU域内に個人情報を含むデータを送るときに海外のサーバを経由する

 例えば、ドイツからフランスに個人情報を含むデータを電子メールで送る場合に、日本のメールサーバを経由して届く場合。

 

・日本のwebサイトで物品やサービスの購入申し込みを行う

 例えば、EUから日本での宿泊申し込みや物品購入を行い、個人情報を収集する場合。

これらのようなケースはGDPRにおける個人データの移転に該当しますので、適法となるようにしかるべき対処が必要です。データ主体への十分なリスクの説明の実施と、個人データの処理と移転の適法性の根拠に関する明示的な同意の取得を行い、かつ十分な個人情報保護対策を講じることで適法となるケースがあります。

免責事項:本書の目的はGDPRの理解を助け、対処を促すことです。本書をGDPRの法的解釈のために使用することはできません。

■ GDPR対策関連ソリューション