ページの本文へ

Hitachi

情報漏洩防止ソリューション 秘文

情報漏洩防止ソリューション 秘文 GDPR(EU一般データ保護規則)とは?
日本企業が対応すべきポイントを考える

GDPR(EU一般データ保護規則)とは?日本企業が対応すべきポイントを考える

2018年5月にEUで施行されたGDPR(EU一般データ保護規則)。これは、いったいどのようなものなのでしょうか。GDPRの意味や定めている事項を理解し、日本企業が対応すべきポイントを考えていきましょう。

GDPRとは?

「EU一般データ保護規則」(GDPR:General Data Protection Regulation)とは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことで、2018年5月25日に施行されました。自然人の基本的な権利の保護という観点から、個人情報の扱いについて規制を行っています。GDPR以前のEUデータ保護指令からさらに厳格化されており、具体的に重要な規制は以下のような事項です。

  • ・本人が自身の個人データの削除を個人データの管理者に要求できる
  • ・自身の個人データを簡単に取得でき、別のサービスに再利用できる(データポータビリティ)
  • ・個人データの侵害を迅速に知ることができる
  • ・個人データの管理者は個人データ侵害に気付いた時から72時間以内に、規制当局へ当該個人データ侵害を通知することが求められ、また、将来的には本人への報告も求められる。
  • ・サービスやシステムはデータ保護の観点で設計され、データ保護されることを基本概念とする
  • ・法令違反時の罰則強化
  • ・監視、暗号化、匿名化などのセキュリティ要件の明確化

GDPRの特徴は、規制に違反したときに多額の制裁金が課せられることです。EU居住者の個人データを取り扱う場合、EUで活動する企業だけではなく、企業規模に関わらず、多くの日本企業にとっても対応が求められています。

GDPRの概要

GDPRでは、以下のような内容について詳細に定められています。

  • ・個人データの処理、移転(別のサービスでの再利用など)に関する原則
  • ・本人が自身の個人データに関して有する権利
  • ・個人データの管理者や処理者が負う義務
  • ・監督機関設置の規定
  • ・障害発生時のデータの救済と管理者および処理者への罰則
  • ・個人データの保護と表現の自由 など

GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかが、EU域内に拠点を置く場合が対象です。また重要なポイントとして、EU居住者の個人データを収集・処理する組織は、EU域外に活動拠点を置いていてもGDPRの適用対象とされることが挙げられます。
インターネットが普及した現代において、ネット通販などグローバルにサービスを提供できる今、日本企業においてもGDPRの指針に基づいた企業としての対策が求められてくるのです。
では次に、その対策ポイントについて考えていきます。

日本企業が対応すべきポイント

日本においても改正個人情報保護法が2017年5月30日から全面施行されています。しかし、日本の個人データ保護の水準は2018年8月時点では、いまだ欧州委員会によって十分であるとの認定を受けていない状況です。
とはいえ、日本企業が事業をグローバルに展開していくうえで、個人データの取り扱いは日常業務として避けては通れません。そのため、各企業が日本の法令のみならず、GDPRを軸として企業における対応を整備していくことが必要になってくるでしょう。

日本企業においてGDPRへの対策が必要となるのは、以下のようなケースが挙げられます。

  • ・EUに子会社や支店、営業所を持つ企業
  • ・日本からEUに商品やサービスを提供している企業
  • ・EUから個人データの処理について委託を受けている企業 など

EUに子会社や支店、営業所を持つ企業については、現地法人の従業員や顧客の個人データをGDPRの原則に基づいて適切に扱わなければなりません。

EU域内で個人データを収集し、日本国内でその取り扱いを行うシーンなどでは、GDPRに基づいたデータ処理が必要となるでしょう。

GDPRでは、Cookieなどで得られる個人データの処理も対象です。また、EU域内に個人データを扱うデータベースやサーバーが設置されている場合もGDPRの適用対象です。さらには、ネット通販などでEU域内へ商品やサービスを販売しているケースにも、GDPRが適用されることになります。

このように見ていくと、事業状況からGDPRへの対策が求められる日本企業はかなり多いと推測されるでしょう。例えばネット通販を行っている場合、店舗やサーバーが日本国内に設置されていても、購入者がEU域内に居住していてその個人データを取り扱っているのであれば、GDPRの適用対象となるのです。そのため、日本国内のみでビジネスを行っているからと言って、自社に関係ない話だとは軽視できません。

企業における具体的な施策例として、GDPRの第32条および前文(83)では、データ保護技術のひとつとして暗号化が推奨されています。
そのため、クライアントPCやHDD、USBメモリーなどの記録メディア、共有フォルダなどの個人データの暗号化が必要となってきます。
しかし、これらをすべて人の手によって暗号化することは困難です。そこで、暗号化/復号を意識せず暗号化できるツールなどの導入を検討する必要があると言えます。

なお、GDPRは違反企業に対して非常に厳しい罰則を定めています。例えば個人データの取り扱いに関して適切な安全管理対策を実施しなかったり、GDPRが定めている通りに個人データの取り扱いに関する記録を残していなかったり、あるいは、規定通りにデータ保護責任者が配置されていなかった場合などには、最大で該当企業における全世界年間売上の2%または1千万ユーロの、いずれか高い方が制裁金として課されると定められています(第83条第4項)。更には、個人データの基本的取扱い原則(同意の条件を含む)に違反したり、データ主体の権利を侵害したり、域外移転に関するルールを遵守しなかったりした場合などには、最大で該当企業における全世界年間売上の4%または2千万ユーロの、いずれか高い方が制裁金として課されると定められています(第83条第5項)。違反を起こしてしまわぬよう、企業規模に関わらず大きな課題として取り組んでいくべきだと言えるでしょう。

まとめ

企業のグローバル化が加速的に進んでいるほか、ネット通販などを含めて国を越えた取引が多く行われる昨今。日本という枠の中だけで事業展開の在り方を考えるのは、とても難しい状況ではないでしょうか。そのため、GDPRへの取り組みが必要となっています。

長期的な企業の成長や戦略実現に向けて、個人データの取り扱いにおける取り組みの重要性は常識となりました。EUでのGDPRの施行という動きをひとつのきっかけとして捉え、さらにもう一歩踏み込んで考える必要があるのではないでしょうか。企業が情報の取り扱いやセキュリティについて再考することは、企業の社会的価値を高めることにも繋がるはずです。

この記事に関連するおすすめの秘文機能

おすすめの秘文機能を紹介したカタログ

おすすめの秘文機能を紹介したカタログ ダウンロード
カタログダウンロード

おすすめコラム

ページの上部へ
ページの上部へ