インターネットビジネス最新情報ポータル IBNIP

5月25日から施行される一般データ保護規則(GDPR)とは?

「一般データ保護規則」という言葉を知っているでしょうか?2018年5月25日に施行され、EU域内と関わりを持つ全ての企業にとっては、早急な対応が求められる個人情報保護規定です。

中にはあまり知らない方や、初めて聞いたという方もいるかもしれません。もし今はあまり関係がなくても今後、重要になってくるキーワードなので、知っておく必要があるといえます。

今回は、「一般データ保護規則」について解説すると共に、今後どういった影響があるのか、メリットデメリットなどを説明していきます。

「一般データ保護規則」とは?

「一般データ保護規則」とは、(General Data Protection Regulation:以下、GDPR)のことを指し、欧州連合(EU)における新しい個人情報保護の枠組みのことを指します。

GDPRの目的は、市民が自分の個人データをコントロールする権利をきちんと持つことです。具体的には、個人データの処理と、移転に関するルールを定めた規則となります。

GDPRは、1995年から適用されたEUデータ保護指令に代わり、2016年4月からEU加盟諸国に対して採択され、2年間の移行期間後、2018年5月25日から適用となります。

EUデータ保護指令と比較して、施行範囲の拡大や、企業に対して新たに説明責任を強化したり、制裁と執行を強化している点が特徴的といえます。

個人の権利を守る風潮の強い欧米社会の個人情報保護の基準が、今後益々グローバルスタンダードになっていくといえるでしょう。

日本企業においては、EU諸国と関連ある企業や取引をしている企業に少なからず影響がありますので、該当する企業は必ず知っておくべき内容といえるでしょう。特に個人情報を扱うWeb関連企業や担当者は熟知しておく必要があります。

GDPRでいう個人データとは、個人に関するあらゆる情報が含まれ、氏名、住所、写真、メアド、SNSの書き込み、クレジットカード情報、パスポート情報、コンピューターのIPアドレスなど、かなりの広範囲に適用されます。

GDPRは、173項目、99条にわたり細かく規定されています。

以下、代表的な規制事項をまとめてみました。

個人データの処理

個人データを処理する際には、企業は管理者として、以下のような規制事項を遵守する必要があります。

  1. 個人データの保護、または保管の際に適切な安全管理措置
  2. 処理を行う目的の達成に必要な期間を超えて、個人データを保持することはできない。
  3. 個人データの情報漏洩があった場合には、企業はその旨を監督機関に72時間以内に通知することが必要。
  4. 定期的に大量の個人データを扱う企業は、データ保護オフィサーを任命する必要がある。

個人データの移転

欧州経済領域(EEA)の域内から、域外への個人データの移転は原則禁止となっています。

現在日本においては、欧州委員会より適切な個人情報保護制度を持っていると認められていませんので、もしEEAからの情報移転をする際には、いくつかの一定条件を満たす必要があります。

個人の基本的権利の保護

GDPRは、個人の基本的な権利を保護するという考え方が強く反映されており、個人データの取得の際には、以下のようなルールが決められています。

  1. 企業は管理者として、自社の身元や連絡先はもちろん、個人情報処理の目的や第三者への提供の有無、保管期間などについてわかりやすく明確な表現で通知する必要があること。
  2. 1.の内容に対してユーザーの同意を得て、もしユーザーが望めば、同意を自由に撤回できる権利を行使できるようにすること。
  3. 企業が個人データをデータ主体以外から取得する場合は、入手先をユーザーに通知する必要があるということ。

どういう日本企業がGDPRの影響を受けるのか?

GDPRはEUで定められた規則ですが、日本企業にとって、影響を大きく受けるケースがあります。

では、一体どんな日本企業が影響を受けるのでしょうか?

①EUに営業拠点、支店などがある場合

EEAに営業拠点、支店など何らかの拠点がある場合は、GDPRが直接適用されますので、対応が必要です。もし、本社が日本にある場合でも例外ではありません。企業は管理者として、GDPRに沿った対応が必要となります。

②日本からEUに商品やサービスを提供している場合

EEAの個人消費者に対して、何らかの商品やサービスを提供している場合は、GDPRが適用されるということになります。

また注意したいのは、例えば日本本社にWebサイトがあり、EU在住者に対して旅行や交通機関、航空券の予約など、なんらかの個人情報提供を求めるケースの場合に、GDPRが適用される可能性があるということです。

最近、日本への外国人旅行者数の増加や東京オリンピックなどのイベント開催を考えると、今後対応しなければいけない企業は増加すると考えられます。

このようにEEAに拠点がない場合でも、該当する企業はGDPRに沿った対応が必要です。

③EUから個人データの取り扱いの委託を受けている企業

データセンターやクラウドベンダーなどの事業者が、もしEEAの企業からデータ処理などの委託業務を受けている場合は、GDPRに該当するので対応が必要です。

クッキーなどで得られる個人データ処理はもちろん対象となり、EEAに個人データベースやサーバーが設置されている場合も、これに当てはまります。

④その他

短期出張や短期旅行などで、EEAに滞在した場合、その後日本人のデータを日本に移転する場合。また、日本本社からEEAに転勤になった社員の個人情報も適用範囲内になります。

そして、日本とEEAで個人データの送受信がある場合も適用されます。

もし違反をした場合は?

GDPR第83条によれば、もし適用対象企業がGDPRに違反した場合は、多額の制裁金が課されるので注意が必要です。

ルール違反や監督機関からの命令を遵守しない場合には、最大で該当企業の全世界年間売り上げの4%以下または、2千万ユーロのいずれか高い方が罰金として課されます。

2千万ユーロだと、約24億円なので中小企業はもちろん、大企業でも相当な痛手となります。

日本においては、2017年5月30日から個人情報保護法が改正、施行されていますが、GDPRから見るとまだまだ十分な基準とはいえません。日本企業が今後グローバル展開を加速させていくためには、GDPRは避けて通れない課題となるでしょう。

GDPRのメリット、デメリットは?

GDPRの施行により、メリットとしてはユーザーの個人情報がより守られ、不正ログインやハッキングなどからのセキュリティ保護面が進むことでしょう。

より企業がセキュリティ面を強化することにより、安全にグローバル間の取引が可能になります。最初はEU圏内だけかもしれませんが、今後GDPRの基準が先進国はもちろんグローバルスタンダードになる可能性は高いでしょう。

デメリットとして考えられるのは、該当企業の対応の遅れにより、制裁金が課される企業が出てきたり、中小企業で対応できないところは淘汰されていく可能性もあります。

GDPRは多数の項目が細かく規定されており、対処するには、それ相応のシステムと人材が必要です。対応にある程度コストと時間がかかる点がデメリットといえるでしょう。

GDPRへの対応はどうすれば良いのか?

GDPRの要求する事項は、多岐にわたります。

ある調査によると、日本企業はGDPRに対する準備ができている企業は全体の19%しかなく、対応の遅れが懸念されています。

多くの企業が施行日までに対応することが困難な状況といえ、対応が遅れるとビジネスに深刻な影響が出る可能性があります。

2018年5月25日の施行に向けて、準備から対応、運用面でそれぞれの対応ポイントをまとめてみました。

①準備面

GDPRが適用される各拠点において、どんな個人データがあり、どんな経路で使用されているのかを現状把握することが大切です。

その上でどんな作業が必要で、対応のための作業量に対して、どんな人材が必要なのかも検討し、全体的な計画やスケジューリングを行う必要があります。

②対応面

計画に基づき、GDPRに沿った個人データの管理や運用ルールなどを構築して、関係者との密なコミュニケーションを図り対応していく。

③運用面

対応後に一定期間経過後、運用ルールの見直しや、社内対応の見直し、改善面を洗い出して実行していく。

以上のように、できるだけ限られた時間の中で迅速に対処していくことが重要といえるでしょう。

早めの対応が必要

GDPRの対象となる個人データは、ガイドラインの発行を待って対応するより、できるだけ早めに可能性のある段階で準備を進めるほうが無難といえるでしょう。

施行後に少しでもひっかかってしまい、多額の制裁金を支払うよりは、リスクを抑えるという意味で安全といえます。しかし、特に中小企業は、大企業のように大規模なデータ管理オフィサーがなく配置することが困難なケースが多いようです。

日本とEU圏は、経済連携協定を締結する見通しがあるなど、両者の関係は今後深まることは避けられず、経営者は一刻も早い対応が求められています。

まとめ

GDPRとは、EUが2018年5月から施行する個人データに関する保護規定で、従来のEUデータ保護指令よりも、より個人がデータをコントロールする権利を有するようになります。

EEAとビジネスにおいて関わる、またはEEAで経済活動をする企業にとっては、早急な対応が求められます。

今後、よりセキュリティ面が強化され、安全にグローバルビジネスが展開できるメリットが考えられますが、一方で中小企業を中心とした対応の遅れが懸念されます。

欧米社会で取り決めた内容は、今後グローバルスタンダードになる可能性が高く、今後日本に多くの外国人が来日している可能性があるので、経営者は早急に対応することが求められるでしょう。

[記事公開日]2018.05.22
[最終更新日]2018.09.07
[ライター]ワカさん