改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ
EU域外にあってもGDPRが適用対象となる可能性がある
EUでは1995年から個人情報の保護のためEUデータ保護指令が導入されてきたが、これに替わる新たな法律として、2018年5月から一般データ保護規則(General Data Protection Regulation:GDPR)が施行される予定となっている。デロイトトーマツサイバーセキュリティ先端研究所主催の第8回サイバーセキュリティセミナー「EUと日本における新しい個人情報保護制度」で登壇した大場氏は「個人データのEU域外移転については、現行法でも制約が設けられているが、GDPRにおいても同様に注意が必要」と指摘する。
「まずGDPRを考える上で留意しなければならないポイントは、適用の対象がかなり広いということ。本社がEU域外にあっても、EU域内に子会社が設立され、居住者の個人データの取扱いがある場合にはGDPRの適用対象となる。またEU域内で個人データを収集し、日本で処理を行っている場合、EU域内に業務遂行に必要なサーバなどの機器が存在している場合、そしてEU域内に日本から直接、商品やサービスなどを提供している場合のいずれかに当てはまる時には、GDPRの適用対象となる可能性がある」
さらに大場氏は、いわゆるビッグデータの利活用と、グローバルな人事制度の構築という2つの観点からも、GDPRの域外移転の制約には注意が必要だと促す。
まずビッグデータ利活用の観点からは、特に現地ユーザーを対象にB2C事業を展開している日本企業は、直接的に個人情報を取り扱うことになるので、一番気を付けなければならないという。
またグローバルにビジネスを展開している企業は、これまで各国で異なった人事制度を運用し、それぞれに従業員データベースを構築していることが一般的だった。それが今では、全世界の人事情報を一元的に集約して、統一的な人事制度を適用しようという世界的な動きがあるという。その際には、EU域内の従業員データを取り扱う必然性が出てくることになる。
「ビッグデータの利活用やグローバルな人事制度の構築という場面では、どうしても個人データの移転が伴う。日本企業には管理態勢を整え、必要な技術的対策などを講じていくことが求められる」
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!