開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/04/06

GDPRとは何か? EU一般データ保護規則をEYがわかりやすく解説する

2018年5月の「EU一般データ保護規則」(General Data Protection Regulation:GDPR)施行まで2カ月を切りました。GDPRは、日本を含むEU域外の企業にも広く影響があり、また、違反時の制裁金が高額であることから、当社にもGDPR対応を検討する日本企業からの相談は今なお増えています。GDPR対応においては、まず「GDPRで保護されるべき個人データとは何か」「同データの取り扱いがある場合、日本企業にどういった影響があるのか」「影響がある場合、企業として対応すべきことは何か」を見極めることが重要です。本稿では「GDPRとは何か」を説明するとともに、上記対応において、企業が留意すべきポイントを紹介します。

EYアドバイザリー・アンド・コンサルティング 熊谷真知子

EYアドバイザリー・アンド・コンサルティング 熊谷真知子

EYアドバイザリー・アンド・コンサルティング株式会社 シニアマネージャー EYで10年以上にわたり、個人情報保護を含む情報セキュリティ関連の監査、管理体制構築支援等のアドバイザリー業務を担当。EYのグローバルネットワークのもとで世界各国のプライバシー専門チームと連携し、海外のプライバシー規制対応に向けたグローバル企業の個人情報保護/プライバシー管理支援を提供中。公認情報システム監査人 (CISA)、プライバシーマーク審査員補。

photo
間もなく施行されるGDPRに「対応しない」という選択肢はない
(© Petr Vaclavek – Fotolia)


GDPRとは何か? その目的は?


GDPRとは?
GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EUにおける個人データ保護に関する法律です。1995年に施行された「Data Protection Directive 95(EUデータ保護指令)」(以下、「現行法」という)に代わる法規制として2016年4月に制定、2018年5月25日に施行されます。

 GDPR制定の背景には、急速なIT技術の革新とグローバリゼーションの進展があります。ビッグデータ時代に、企業は顧客データや行動履歴などをグローバル規模で分析し商品開発やサービス改善などに活用したいというニーズが高まっています。

 かねてよりEUでは、個人情報保護に関する法整備が進んでおり、こうした個人情報を取り囲む環境変化への対応を目的として、GDPRという新たなデータ保護の枠組みが策定されました。

GDPRにおいて保護対象となる個人データとは

 保護対象の個人データは、EU加盟国に加えEEA(欧州経済領域)加盟3か国に所在する一般消費者の情報のみならず従業員、企業担当者などを含むすべての個人について、その個人識別につながる情報です。

 このこと自体は、日本の個人情報保護法(以下、「国内法」という)と共通しますが、紹介されている例示には、たとえばオンライン識別子(例:IPアドレス)など、国内法にはないものも含まれています。

個人データの例

・従業員の氏名が含まれるもの(従業員名簿、人事システム、組織図、緊急時連絡網、座席表)
・顧客の氏名が含まれるもの(顧客管理システム、株主名簿)
・取引先企業担当者の氏名が含まれるもの(イベント参加者名簿、展示会来場者情報)
・Eメールアドレス(メーリングリスト)
・個人に係る映像、画像または音声(イベント写真)

 個人の氏名が含まれる場合は、もれなく個人データに含まれるでしょう。また、従業員番号などのIDのみであっても、従業員名簿があれば紐付けが可能であり「この人とわかる可能性がある」データとして、個人データとみなされます。

 IPアドレスなどのオンライン識別子は、他のデータと組み合わせることで、個人識別につながる場合に対象とされています。

日本企業にどういった影響があるのか

 上記の前提を理解した上で、日本企業がGDPR対応として、始めに何をすべきでしょうか

 まずは、GDPR適用対象となる個人データの取り扱いがあるか、またある場合にどのように取り扱っているかを把握し、自社においてGDPR上どういった影響があるかを理解することから始まります。

 主にGDPRが影響するケースとしては、以下の4つに分類されます。

分類【1】:
 EUに設置されている子会社、支店、営業所が存在し、そこで個人データが取り扱われている
 EU域内に所在する企業は、「管理者」(キーワード解説2参照)としてGDPR要求事項全般が適用されます。

分類【2】:
 EU企業を介さず、EU居住者の個人データを取り扱っている
 日本企業として、直接現地(言語、通貨)向けに商品やサービスを提供しており、その中で個人情報を収集する場合(たとえば、オンラインショッピングサイトを介した一般消費者への商品販売や、現地取引先企業向けのヘルプデスクサイトの設置している)なども、分類1同様に管理者としてみなされることになり、GDPR要求事項全般が適用されます。

分類【3】:
 EU域内から域外へのデータ移転を受けている
 EU域内企業が収集した個人データを、EU域外企業がアクセスできる状態にあることを指します。たとえば、EUにある現地法人より日本本社へ、企業取引先担当者リストのデータがEメールで送付されている、EUの現地法人の人事システムへ日本本社の担当者がアクセスできるといったケースなどです。この場合、日本本社は「データ移転」(キーワード解説5参照)を受ける先の企業として対応が必要です。

分類【4】:
 管理者に代わり、EU居住者の個人データを取り扱っている
 たとえば業務委託など、個人情報を収集する立場の管理者に代わって、業務を行う中で個人データの取り扱いが含まれる場合、同組織は「処理者」(キーワード解説3参照)とみなされ、処理者に関する規制への対応が求められます。

画像
GDPRの影響がある個人データの取り扱い分類例
(出典:EYアドバイザリー・アンド・コンサルティング)


 分類【1】、【2】と分類【3】、【4】では、その規制内容が大きく異なることに注意が必要です。

 前者に該当する場合、同企業は、個人情報の持ち主である本人(データ主体)から個人情報を収集する立場である「管理者」とみなされるため、データ主体に向けた対応の責務が生じることになります(例:利用目的の通知や、同意、同意の撤回などの問い合わせ対応)。

 一方後者は、管理者が収集した情報の提供を受けて取り扱うことになるので、データ主体に向けた対応は不要であり、主に提供を受けたデータに対するセキュリティ対策が責務となります。

【次ページ】企業として対応すべきことは何か

お勧め記事

国際標準化 ジャンルのセミナー

国際標準化 ジャンルのトピックス

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!