改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ
記事をお気に入りリストに登録することができます。
EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。
マネジャー
大場 敏行 氏
EU域外にあってもGDPRが適用対象となる可能性がある
EUでは1995年から個人情報の保護のためEUデータ保護指令が導入されてきたが、これに替わる新たな法律として、2018年5月から一般データ保護規則(General Data Protection Regulation:GDPR)が施行される予定となっている。デロイトトーマツサイバーセキュリティ先端研究所主催の第8回サイバーセキュリティセミナー「EUと日本における新しい個人情報保護制度」で登壇した大場氏は「個人データのEU域外移転については、現行法でも制約が設けられているが、GDPRにおいても同様に注意が必要」と指摘する。
「まずGDPRを考える上で留意しなければならないポイントは、適用の対象がかなり広いということ。本社がEU域外にあっても、EU域内に子会社が設立され、居住者の個人データの取扱いがある場合にはGDPRの適用対象となる。またEU域内で個人データを収集し、日本で処理を行っている場合、EU域内に業務遂行に必要なサーバなどの機器が存在している場合、そしてEU域内に日本から直接、商品やサービスなどを提供している場合のいずれかに当てはまる時には、GDPRの適用対象となる可能性がある」
さらに大場氏は、いわゆるビッグデータの利活用と、グローバルな人事制度の構築という2つの観点からも、GDPRの域外移転の制約には注意が必要だと促す。
まずビッグデータ利活用の観点からは、特に現地ユーザーを対象にB2C事業を展開している日本企業は、直接的に個人情報を取り扱うことになるので、一番気を付けなければならないという。
またグローバルにビジネスを展開している企業は、これまで各国で異なった人事制度を運用し、それぞれに従業員データベースを構築していることが一般的だった。それが今では、全世界の人事情報を一元的に集約して、統一的な人事制度を適用しようという世界的な動きがあるという。その際には、EU域内の従業員データを取り扱う必然性が出てくることになる。
「ビッグデータの利活用やグローバルな人事制度の構築という場面では、どうしても個人データの移転が伴う。日本企業には管理態勢を整え、必要な技術的対策などを講じていくことが求められる」
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
