開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2018/04/06

GDPR(EU一般データ保護規則)とは何か? 概要と対応方法をわかりやすく解説する

GDPR(EU一般データ保護規則)は、日本を含むEU域外の企業にも広く影響があり、また、違反時の制裁金が高額なため、GDPR対応を検討する日本企業は増えています。GDPR対応においては、まず「GDPRで保護されるべき個人データとは何か」「同データの取り扱いがある場合、日本企業にどういった影響があるのか」「影響がある場合、企業として対応すべきことは何か」を見極めることが重要です。本稿では「GDPRとは何か」を説明するとともに、企業が対応する方法と注意すべきポイントを紹介します。

EYアドバイザリー・アンド・コンサルティング 熊谷真知子

EYアドバイザリー・アンド・コンサルティング 熊谷真知子

EYアドバイザリー・アンド・コンサルティング株式会社 シニアマネージャー EYで10年以上にわたり、個人情報保護を含む情報セキュリティ関連の監査、管理体制構築支援等のアドバイザリー業務を担当。EYのグローバルネットワークのもとで世界各国のプライバシー専門チームと連携し、海外のプライバシー規制対応に向けたグローバル企業の個人情報保護/プライバシー管理支援を提供中。公認情報システム監査人 (CISA)、プライバシーマーク審査員補。

photo
間もなく施行されるGDPRに「対応しない」という選択肢はない
(© Petr Vaclavek – Fotolia)


GDPRとは何か? その目的は?


GDPRとは?
GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EUにおける個人データ保護に関する法律です。1995年に施行された「Data Protection Directive 95(EUデータ保護指令)」(以下、「現行法」という)に代わる法規制として2016年4月に制定、2018年5月25日に施行されます。

 GDPR制定の背景には、急速なIT技術の革新とグローバリゼーションの進展があります。ビッグデータ時代に、企業は顧客データや行動履歴などをグローバル規模で分析し商品開発やサービス改善などに活用したいというニーズが高まっています。

 かねてよりEUでは、個人情報保護に関する法整備が進んでおり、こうした個人情報を取り囲む環境変化への対応を目的として、GDPRという新たなデータ保護の枠組みが策定されました。

GDPRにおいて保護対象となる個人データとは

 保護対象の個人データは、EU加盟国に加えEEA(欧州経済領域)加盟3か国に所在する一般消費者の情報のみならず従業員、企業担当者などを含むすべての個人について、その個人識別につながる情報です。

 このこと自体は、日本の個人情報保護法(以下、「国内法」という)と共通しますが、紹介されている例示には、たとえばオンライン識別子(例:IPアドレス)など、国内法にはないものも含まれています。

個人データの例

・従業員の氏名が含まれるもの(従業員名簿、人事システム、組織図、緊急時連絡網、座席表)
・顧客の氏名が含まれるもの(顧客管理システム、株主名簿)
・取引先企業担当者の氏名が含まれるもの(イベント参加者名簿、展示会来場者情報)
・Eメールアドレス(メーリングリスト)
・個人に係る映像、画像または音声(イベント写真)

 個人の氏名が含まれる場合は、もれなく個人データに含まれるでしょう。また、従業員番号などのIDのみであっても、従業員名簿があれば紐付けが可能であり「この人とわかる可能性がある」データとして、個人データとみなされます。

 IPアドレスなどのオンライン識別子は、他のデータと組み合わせることで、個人識別につながる場合に対象とされています。

日本企業にどういった影響があるのか

 上記の前提を理解した上で、日本企業がGDPR対応として、始めに何をすべきでしょうか

 まずは、GDPR適用対象となる個人データの取り扱いがあるか、またある場合にどのように取り扱っているかを把握し、自社においてGDPR上どういった影響があるかを理解することから始まります。

 主にGDPRが影響するケースとしては、以下の4つに分類されます。

分類【1】:
 EUに設置されている子会社、支店、営業所が存在し、そこで個人データが取り扱われている
 EU域内に所在する企業は、「管理者」(キーワード解説2参照)としてGDPR要求事項全般が適用されます。

分類【2】:
 EU企業を介さず、EU居住者の個人データを取り扱っている
 日本企業として、直接現地(言語、通貨)向けに商品やサービスを提供しており、その中で個人情報を収集する場合(たとえば、オンラインショッピングサイトを介した一般消費者への商品販売や、現地取引先企業向けのヘルプデスクサイトの設置している)なども、分類1同様に管理者としてみなされることになり、GDPR要求事項全般が適用されます。

分類【3】:
 EU域内から域外へのデータ移転を受けている
 EU域内企業が収集した個人データを、EU域外企業がアクセスできる状態にあることを指します。たとえば、EUにある現地法人より日本本社へ、企業取引先担当者リストのデータがEメールで送付されている、EUの現地法人の人事システムへ日本本社の担当者がアクセスできるといったケースなどです。この場合、日本本社は「データ移転」(キーワード解説5参照)を受ける先の企業として対応が必要です。

分類【4】:
 管理者に代わり、EU居住者の個人データを取り扱っている
 たとえば業務委託など、個人情報を収集する立場の管理者に代わって、業務を行う中で個人データの取り扱いが含まれる場合、同組織は「処理者」(キーワード解説3参照)とみなされ、処理者に関する規制への対応が求められます。

画像
GDPRの影響がある個人データの取り扱い分類例
(出典:EYアドバイザリー・アンド・コンサルティング)


 分類【1】、【2】と分類【3】、【4】では、その規制内容が大きく異なることに注意が必要です。

 前者に該当する場合、同企業は、個人情報の持ち主である本人(データ主体)から個人情報を収集する立場である「管理者」とみなされるため、データ主体に向けた対応の責務が生じることになります(例:利用目的の通知や、同意、同意の撤回などの問い合わせ対応)。

 一方後者は、管理者が収集した情報の提供を受けて取り扱うことになるので、データ主体に向けた対応は不要であり、主に提供を受けたデータに対するセキュリティ対策が責務となります。

個人データ洗い出し調査の必要性とは

 個人データの取り扱いに関する洗い出し調査を実施し、その取り扱いがこれらの分類のどれにあたるかを整理することで、自社におけるGDPRの影響が特定できることになります。

 具体的には、取り扱う個人データの棚卸リストを作成し、EU居住者データが含まれる場合は「保管場所はEU域内かどうか」「データ移転(国外との共有)があるかどうか」「EU居住者データの外部委託があるかどうか」などのポイントを確認していくイメージです。

画像
個人データ棚卸リストのイメージ
(出典:EYアドバイザリー・アンド・コンサルティング)


企業として対応すべきことは何か

 管理者に該当する場合、GDPRに準拠するための管理体制の整備、運用の見直しが求められ、たとえば次のような対策が必要です。

 5月施行に向けて優先的に進めるべき対応としては、ウェブサイトに掲載されるプライバシーポリシーなどの組織外への公表に関する対応が挙げられるでしょう。

1.体制(規程類、組織)の整備
・ウェブサイトに掲載しているプライバシーポリシー、社内ルールとして整備している個人情報保護規程類の見直し
・個人情報保護の取組の周知徹底、適切な運用を遂行するための役割、職責の明確化
・データ保護責任者(DPO:キーワード解説8参照)の任命の要否の検討、任命

2.業務プロセス
・個人からの収集手続の見直し(収集に際して同意取得が必要なケースの洗い出しと、取得方法の検討)
・データ主体からの問い合わせ(データ消去、同意の撤回など)に対応するための手順の整備
・漏えい時の通知義務(72時間以内の監督機関への報告、データ主体への通知)
・その他GDPRで求められる規制への対応(データ保護影響評価(DPIA:キーワード解説6参照)、処理の記録の作成)

3 .システム対応
・物理的、技術的セキュリティ対策の実践(例:ユーザID、アクセス権限の管理、ログの取得及び保管)
・新たな業務プロセスに対応するためのシステム機能の実装(例:ウェブ上で同意を取得するための機能追加、変更)

最後に

 当社に寄せられるグローバル企業からの相談には、「日本本社は、国内法に準拠した管理体制を整備済みであるものの、現地法人の対応は十分とは言えない」といった悩みが多くあります。

 グローバルにビジネスを展開する企業は、現地と日本の課題認識を共有し、GDPRを始めとする個人情報保護規制への対応を進めていくことが重要です。

 個人情報保護については、中国やシンガポールなどアジア各国の法規制も強化の傾向にあり、取組の早い企業の中には、いち早くそうした地域の法規制対応を進めています。GDPRを足掛かりに、今後は他の地域、国にも目を向けて、全体的に個人情報保護管理のレベルを上げていく必要があるでしょう。

キーワード解説

 次にGDPRにおけるキーとなる用語を簡単にご紹介します。

1.データ主体(Data Subject)
 情報の持ち主(情報の主体)である本人を指します。

2.管理者(Controller)
 GDPRの対象となる個人データを収集し、取り扱う組織は、「管理者」とみなされ、個人情報の収集から廃棄まで、GDPRの規制に準拠することが求められます。 日本に所在する企業の場合、前述の洗い出し調査の結果、分類【2】に該当する場合は、管理者としてみなされることになります。

3.処理者(Processor)
 管理者に代わり、GDPRの対象となる個人データを処理する組織を指します。管理者は処理者がGDPRの要求事項を遵守していることを確認する必要があります。たとえば、EU域内の企業A社が、給与計算などの個人データの処理業務をクラウドベンダーB社に委託し、社員の氏名や銀行口座情報をB社に渡したケースでは、「データ主体」は社員で「管理者」はA社、「処理者」がB社となります。

4.データの処理(Processing)
 取得、閲覧、保管、利用、外部への提供、消去といった、個人情報の取り扱い全般を指します。

5.データ移転(Data Transfer)
 現行法及びGDPRでは、EU域内からEU域外への個人データの持ち出しは原則禁止されています。ただし主に次の場合、EU域外の第三国への個人データを持ち出しが認められています。
・欧州評議会より、十分な個人情報保護管理体制が構築されていると認められている国や地域(十分性認定国)
・データ提供元とデータ提供先の間で、個人データの取り扱いに関し、欧州評議会が指定する所定の様式(Standard contractual clauses(標準契約条項):SCC)に基づき合意がなされている場合
・データ主体が「同意」した場合(ただし、同意の撤回も認められている)

6.データ保護影響評価(Data protection impact analysis:DPIA)
 データ主体のプライバシーに対するリスクを測定、分析、評価するプライバシー保護対策の手法であり、GDPRでは、以下のような場合にDPIAを実施することが求められています。
・「プロファイリング」(業務実績、経済状況など、個人の特定の側面を自動的に分析すること)
・「特別な種類の個人データ」(人種、政治、病歴など、個人データの中でも特に取り扱いに配慮すべきデータ)もしくは犯罪に関するデータの大規模を行う場合
・公共の場で大規模なモニタリングを実施する場合


7.代理人(Representatives)
 管理者または処理者としてGDPRの適用対象の企業で、EU内に拠点がない場合、EU域内に所在する代理人を設定し、書面で明示する必要があります。代理人は、データ管理者もしくはデータ処理者に代わって、監督機関、データ主体と対話する役割を担うことになります。

8.データ保護責任者(Data Protection Officer:DPO)
 GDPRでは、以下のような場合は、個人データ保護に関する責任者(DPO)を設置することを求めています。

●定期的かつ大規模な行動監視
・監視カメラによる記録
・購買履歴に基づく広告表示
・乗車状況を追跡している公共輸送機関
●「特別な種類の個人データ」を大量に取り扱う業務
・患者のカルテを大量に保有する医療機関

9.個人データ取得に関する「同意」について
 GDPRでは、データの取得にあたっては、データ主体からの明確な同意を取得することが求められる場合があり、その場合は、データ主体が能動的に同意の意思を明示したことが確認できる記録が必要です。データ主体は同意を撤回する権利があり、企業は同意の撤回を請求された場合の対応手順を整備しなくてはなりません。

10.罰則規定
 GDPRに違反した場合の 制裁金と違反例は次のとおりです。
●「企業の全世界年間売上高の2%」または「1,000万ユーロ」のいずれか高いほう
 ・データの取り扱いに関し、適切な技術的、組織的安全管理対策を 実施しなかった場合(そのような措置を取らないデータ処理者に個人データの処理を委託する場合も含みます)
●「企業の全世界年間売上高の4%」または「2,000万ユーロ」のいずれか高いほう
・個人データの処理に関する原則を遵守しなかった場合
・同意に関する条件を遵守しなかった場合
・個人データの域外移転に関するルールを遵守しなかった場合

お勧め記事

国際標準化 ジャンルのセミナー

国際標準化 ジャンルのトピックス

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!