IT導入支援

会員限定

有限責任監査法人トーマツ提供コンテンツ

2016年10月06日

改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ

EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。

photo

デロイト トーマツ リスクサービス
マネジャー
大場 敏行 氏


EU域外にあってもGDPRが適用対象となる可能性がある

 EUでは1995年から個人情報の保護のためEUデータ保護指令が導入されてきたが、これに替わる新たな法律として、2018年5月から一般データ保護規則(General Data Protection Regulation:GDPR)が施行される予定となっている。

 デロイトトーマツサイバーセキュリティ先端研究所主催の第8回サイバーセキュリティセミナー「EUと日本における新しい個人情報保護制度」で登壇した大場氏は「個人データのEU域外移転については、現行法でも制約が設けられているが、GDPRにおいても同様に注意が必要」と指摘する。

「まずGDPRを考える上で留意しなければならないポイントは、適用の対象がかなり広いということ。本社がEU域外にあっても、EU域内に子会社が設立され、居住者の個人データの取扱いがある場合にはGDPRの適用対象となる。またEU域内で個人データを収集し、日本で処理を行っている場合、EU域内に業務遂行に必要なサーバなどの機器が存在している場合、そしてEU域内に日本から直接、商品やサービスなどを提供している場合のいずれかに当てはまる時には、GDPRの適用対象となる可能性がある」

 さらに大場氏は、いわゆるビッグデータの利活用と、グローバルな人事制度の構築という2つの観点からも、GDPRの域外移転の制約には注意が必要だと促す。

 まずビッグデータ利活用の観点からは、特に現地ユーザーを対象にB2C事業を展開している日本企業は、直接的に個人情報を取り扱うことになるので、一番気を付けなければならないという。

 またグローバルにビジネスを展開している企業は、これまで各国で異なった人事制度を運用し、それぞれに従業員データベースを構築していることが一般的だった。それが今では、全世界の人事情報を一元的に集約して、統一的な人事制度を適用しようという世界的な動きがあるという。その際には、EU域内の従業員データを取り扱う必然性が出てくることになる。

「ビッグデータの利活用やグローバルな人事制度の構築という場面では、どうしても個人データの移転が伴う。日本企業には管理態勢を整え、必要な技術的対策などを講じていくことが求められる」

この続きは会員限定です

関連リンク