GDPR が世界企業に及ぼす影響

(1/1)
GDPR
2018 年(平成 30 年)5 月 25 日、EU のあらたな個人情報保護規制「一般データ保護規則GDPR;General Data Protection Regulation)」が施行されました。
これまでの「データ保護指令」より厳格で、EU 域内の組織はもちろん、EU 居住者の個人情報を収集・処理する海外の企業・団体にも適用されます。違反すると、全世界売上高の 4%もしくは 25 億円のどちらか高い方が制裁金として課されます。日本企業も注意が必要です。

目的

GDPR の目的は、市民と居住者が自身の個人データをコントロールできる権利を取り戻すことです。
1995 年(平成 7 年)のデータ保護指令により加盟国毎にばらばらの法整備をしてきたという反省から、EU 加盟国の共通法制度として適用されます。

適用範囲

GDPR の対象となるのは、下記のような個人データです。わが国の個人情報保護法より範囲が広く、より具体的であることに留意しましょう。
  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IP アドレス、クッキー)
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
また、適用対象は、EU 内に拠点を置くデータ管理者だけでなく、EU 居住者に商品やサービスを提供もしくはモニタリングする場合も含みます。つまり、EU 内に居住する日本人顧客や従業員の個人データを日本に送る場合にも適用されます。つまり、次のような企業・団体・機関が範囲となります。
  • EU に子会社、支店、営業所、駐在員事務所を有している。
  • 日本から EU に商品やサービスを提供している。
  • EU から個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)。

義務

GDPR における個人データの処理には、次のような義務が課されます。
  • 処理対象の個人データおよびその処理過程を特定しなければならない。
  • 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない。
  • 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない。
  • 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない。
  • 個人データの侵害(情報漏洩)が発生した場合、企業はその旨を監督機関に対し、72 時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
  • 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。
  • EEA(欧州経済領域)の域内から域外(第三国)への個人データの移転は、原則として禁止する。
わが国は、欧州委員会によって適切な個人情報保護制度を有していると認められていないため、データ移転を行う前に、本人同意を得て、拘束的企業準則(binding corporate rules)を策定し、標準契約条項(SCC:Standard Contractual Clauses)を締結しなければなりません。

罰則

前述の義務に違反した場合、前年度の全世界売上高の 4%もしくは 2000 万ユーロ(1 ユーロ 125 円とすると25 億円)のどちらか高い方が制裁金として課されます。

施行後の様子

2018 年(平成 30 年)5 月 22 日、米Facebook のマーク・ザッカーバーグ CEO が欧州議会で証言に立ったのは、アプリによって収集された約 5000 万のユーザーデータが他社に渡った事件よりもむしろ、同社が GDPR に従うかどうかが注目されました。
雑貨バーグ CEO は、議員からの質問すべてが終わるまで回答をせず、詳細について改めて回答するという手段に出たため、公聴会は混乱に陥りました。

GDPR が施行されると、EU から米ロサンゼルス・タイムズ紙やシカゴ・トリビューン紙を閲覧できなくなりました。

企業は、利用者から明示的な同意を取り付けようと、大量の電子メールやメッセージを送ったため、ネットは大混乱に陥っています。Twitter では "#HappyGDPRDay" ハッシュタグが急増しています。

参考サイト

(この項おわり)
header