GDPRとは?その定義と日本企業がとるべき対策をチェックしよう

GDPR法律 2020.06.29
GDPRとは?その定義と日本企業がとるべき対策をチェックしよう

世界レベルで個人情報保護にまつわる基準、規則が厳格化する中、2018年にEUで施行されたGDPR。「EU域内におけるデータ保護の話でしょ?」と言って放っておくことはできない、日本企業にも影響与える可能性のある内容が、そこには含まれています。

ここでは、そのGDPRの定義や注意すべきポイント、日本企業が対処すべきケースなどについて解説していきます。

1.「GDPR」とは

GDPR(General Data Protection Regulation)は、EUにおける「個人情報保護のための規則」です。日本語では「EU一般データ保護規則」と訳されます。昨今のプライバシー保護気運の高まりにあわせて、2018年5月25日に施行されました。

GDPRはEU域内(アイスランド、ノルウェー、リヒテンシュタイン含む)の個人情報の取り扱いに関する規則ですが、実は全世界の企業に適用可能性があり、日本企業もまた例外ではありません。違反時には「前年度の年間売上高(全世界)の4%以下」あるいは「2,000万ユーロ以下(約24億円:1ユーロ120円換算)」のどちらか高い方、という莫大な制裁金が科せられることから、多くの企業が急ピッチで対策を進めています。

2. GDPRにおける「個人情報処理」の定義

では、GDPRの要点を見ていきます。まず、GDPRにおける「個人情報」と「処理」について、具体的に見ていきましょう。

「個人を特定・識別できるあらゆるデータ」が対象

GDPRでは、名前や住所などEU域内の個人を特定・識別できるあらゆるデータを「個人データ(個人情報)」と定めています。生年月日やマイナンバーなどはもちろん、メールアドレスやクレジットカード番号のような、通販サイトで日常的に取得される情報まですべてが対象です。

IPアドレスなど「組み合わせて個人を特定できるデータ」も対象

注意しなければならないのは、IPアドレスやCookieのようなオンライン識別子に代表される「組み合わせて個人を特定できるデータ」も個人データだとみなされる点です。単独では個人に繋がらない情報も、厳重に扱わなければなりません。たとえば、公式サイトで何気なくオンライン識別子を収集しているだけでも、GDPR違反となる恐れがあります。

収集・編集・送信による開示などあらゆる取り扱いが「処理」とみなされる

GDPRにおける「処理」とは、上記の個人データに対する収集・保存・編集・開示などのあらゆる行為です。EU域内の個人を特定できる可能性があるデータ(組み合わせ含む)を取り扱うことはすべてGDPRの対象となりうる、と認識しておけば間違いないでしょう。

3. GDPRが日本企業に影響するケース

上記のようにGDPRが適用される「個人データ・処理」の範囲は広く、入念な対策が必要です。そこで次に、日本企業がGDPRの対象となる条件をご紹介します。

EU域内に支店・子会社など営業拠点を所有している

支店や子会社などの営業拠点がEU域内に存在する場合、そこで得た個人データは当然GDPRの適用対象となります。本社の所在地がEU域外であっても免除されません。

EU域内から「個人データ」の移転を受けている

EU域内で取得された個人データを日本で受け取る場合もGDPRの対象です。自社グループで取得したデータだけでなく、たとえば他企業からの委託のような、取得には関わっていないデータについても、GDPRを遵守した取り扱いが求められます。

日本国内からEUに向けて商品・サービスを提供している

インターネットサイトなどを利用して日本からEU域内に商品販売やサービス提供を行っている企業にもGDPRが適用されます。GDPRにおける判断基準は「EU域内の個人データ」が取り扱われるかどうかであり、データ取得者・処理者の所在地は重視されないのがポイントです。

4. GDPRについて企業が注意すべきポイントとは

ここまでの適用条件を踏まえたうえで、企業が見落としがちなポイントを見ていきましょう。

EU域内からのWebアクセス

もっとも警戒すべきは、自社サイトに対するEU域内からのアクセスです。EUに向けてサービスを提供しているとみなされる条件は緩く、たとえば英語版サイトを運用しているだけでもリスクがあります。現在の自社サイトに対するアクセスを解析して、EU域内からのアクセスが一定数あるようであれば、ただちにGDPR対策を行いましょう。

EU域内短期滞在者の個人データ

出張・出向などでEU域内に短期滞在している人の個人データもGDPRの適用対象です。GDPRにおける個人データの定義では、国籍や居住地は問われず、「取得時にEU域内に居たかどうか」が争点となります。そのため、たとえば日本からEUに出向した社員の個人データであっても、GDPRにもとづいて取り扱わなければなりません。

日本国内へのデータ移転時の「補完的ルール」

GDPRはEU域外への個人データ移転について厳しく制限しており、持ち出しに関する所定の条件を定めています。しかし日本は「十分性認定」=個人データ取り扱いに関する十分な保護水準を満たした国という認定を受けており、この条件が適応されません。これは日本企業にとって大きな追い風です。認定がない国では、企業間でデータ処理に関する契約を都度交わさなければならないからです。

もちろん、だからといって何をしてもよいわけではなく、個人情報保護法+「補完的ルール」を遵守する必要があります。補完的ルールはGDPRと個人情報保護法の差異を埋めるためのもので、個人情報保護法より厳しく設定されています。国内の個人データと同じ意識で扱ってしまうと、トラブルの元になりますので注意してください。

5. GDPRへの対応方法

最後に、企業が行うべきGDPR対策をいくつかご紹介します。

個人データ収集時に同意を得る

GDPRでは個人データの収集を禁止しているわけではなく、本人の同意を得ないことを問題としています。そのため、公式サイトにプライバシーポリシーを設置して「目的・保有期間・第三者への提供可能性・開示や消去の手続き」などの定められた項目について公表し、同意を得ましょう。特に個人データの開示や消去の申し出があった際には、ただちに対応できるよう枠組みを整えておくべきです。

保持している個人データの暗号化

保存中の個人データは、暗号化・仮名化など適切な加工を行いセキュリティに不安がない状態にしておかなければいけません。怠ってしまうと義務違反となり、GDPRの罰則が適用されます。

保護違反時の72時間以内の通告

データを流出させてしまうなど、データの保護違反を犯した場合には、違反認識後から72時間以内に監督機関に対して通知しなければなりません。報告が遅れてしまうと遅延理由が求められるほか、制裁金も高額になります。万が一のために、違反報告までのフローを事前に整えておきましょう。

データ保護責任者(DPO)を置く

GDPRではデータ保護責任者(DPO)の設置を推奨(一定条件下では義務)しています。DPOは、個人データの適切な運用に対するアドバイスや監査を行う役割です。高度な専門知識が必要でありコストがかかりますが、億単位の制裁金を支払うことを考えれば不可欠な出費だと言えます。

6. まとめ

GDPRは決して遠い海の向こうのものではなく、日本企業も対策しなければならない規則です。すでに数十億の制裁金を科せられている企業も出ており、迅速な対応が求められます。手遅れにならないためにも、今一度、そしてなるべく早めに、自社のデータ管理の状況を見直してみましょう。