開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

有限責任監査法人トーマツ提供コンテンツ

  • スペシャル
  • 会員限定
  • 2016/10/06

改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ

EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。

photo
デロイト トーマツ リスクサービス
マネジャー
大場 敏行 氏

EU域外にあってもGDPRが適用対象となる可能性がある

 EUでは1995年から個人情報の保護のためEUデータ保護指令が導入されてきたが、これに替わる新たな法律として、2018年5月から一般データ保護規則(General Data Protection Regulation:GDPR)が施行される予定となっている。

 デロイトトーマツサイバーセキュリティ先端研究所主催の第8回サイバーセキュリティセミナー「EUと日本における新しい個人情報保護制度」で登壇した大場氏は「個人データのEU域外移転については、現行法でも制約が設けられているが、GDPRにおいても同様に注意が必要」と指摘する。

「まずGDPRを考える上で留意しなければならないポイントは、適用の対象がかなり広いということ。本社がEU域外にあっても、EU域内に子会社が設立され、居住者の個人データの取扱いがある場合にはGDPRの適用対象となる。またEU域内で個人データを収集し、日本で処理を行っている場合、EU域内に業務遂行に必要なサーバなどの機器が存在している場合、そしてEU域内に日本から直接、商品やサービスなどを提供している場合のいずれかに当てはまる時には、GDPRの適用対象となる可能性がある」

 さらに大場氏は、いわゆるビッグデータの利活用と、グローバルな人事制度の構築という2つの観点からも、GDPRの域外移転の制約には注意が必要だと促す。

 まずビッグデータ利活用の観点からは、特に現地ユーザーを対象にB2C事業を展開している日本企業は、直接的に個人情報を取り扱うことになるので、一番気を付けなければならないという。

 またグローバルにビジネスを展開している企業は、これまで各国で異なった人事制度を運用し、それぞれに従業員データベースを構築していることが一般的だった。それが今では、全世界の人事情報を一元的に集約して、統一的な人事制度を適用しようという世界的な動きがあるという。その際には、EU域内の従業員データを取り扱う必然性が出てくることになる。

「ビッグデータの利活用やグローバルな人事制度の構築という場面では、どうしても個人データの移転が伴う。日本企業には管理態勢を整え、必要な技術的対策などを講じていくことが求められる」

この続きは会員限定です

ここから先は「ビジネス+IT」の会員の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

関連リンク

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!