DRIブログ

厳しさは国内法の100倍? これからのGDPR対策について

2019/06/27 0:00:00 / by 仲程 隆顕

今年の3月にアメリカのボストンで開催されたEDW2019では、GDPRについてのセッションが多数開催されていました。GDPRが施行されて早1年が経ちましたが、セッションの参加者も多く、これからGDPRに対応する米企業が多いことに驚きました。

そこで日本企業の取組状況が気になって調べたところ、ある調査結果を発見しました。2019531日にJIPDEC/ITRから発行された「企業IT利活用動向調査2019」によると、GDPRに全く対応できていない日本企業が全体の3割超あるそうです。

 

<GDPRの対応状況>

gdpr_nkhd_01

みなさまの会社はすでにGDPRの対応が終わっていますか?
GDPRは日本の個人情報保護法よりもずっと厳しく、個人情報を保護しています。おまけに、違反した場合の制裁金はとてつもない金額です。
平成29年度、国内の個人情報の取扱いにおける事故は2,399件ありました。(参考:JIPDEC)一方GDPRは、施行からの1年間でデータ侵害が約89,000件、苦情・問合せが約144,000件ありました。さらに、そのうちの446件では訴訟手続きが進められています。(参考:EDPB

gdpr_nkhd_02出展:EDPB 1 year GDPR – taking stock

 

GDPRの事故件数を合計すると、実に日本の100倍以上の数が報告されていることになります。

現在GDPR未対応の企業は、未対応でいることが想像よりずっと大きなリスクであることを知る必要があります。本記事ではそんな企業に向けて、これからのGDPR対策の参考にしていただきたい内容をご紹介します(全2回)。

  • GDPRが適用になる場合とは?
  • GDPR最新動向
  • GDPR特有の権利とその対策(次回)

 

GDPRが適用になる場合とは?

以下の3つの条件のうち、1つでも該当する場合、GDPRが適用されます。

(※)・・・「行動の監視」とは、データ主体の個人的な嗜好、行動及び傾向を分析または予測するために、データ主体をインターネット上で追跡することです。よって、EU域内のデータ主体に対するターゲティング広告などは、「行動の監視」に当たると考えられます。

GDPRが適用になる場合、企業はGDPR適用となる個人データがどれだけ社内にあるのか把握する必要があります。このとき、EU域内のデータ主体の個人データか否かをその国籍や住所で判断しないように気を付けてください。EU域内のデータ主体はEU域内に所在している人(who are in the Union)である、とGDPRでは定められています。(GDPR3条2項)したがって、普段はドイツ在住ですが、現在日本に旅行に来ている人の個人データを取得しても、GDPR適用の対象にはならないと考えられます。ところが、EU域内に短期滞在中、出張中の日本人から取得した個人データは、GDPR適用の対象になると考えられます。

GDPR適用の個人データが社内にたとえ1件しかなかったとしても、そのデータはGDPRの求める保護水準で管理しなければいけません。個人情報保護法では認められていないGDPR特有の権利について知り、その対策を取る必要があります。

 

GDPR最新動向

規制の厳しいGDPRですが、2019123日、日本企業にとって嬉しいニュースがありました。それは、日本が欧州委員会から「十分性認定」を受けたことです。十分性認定とは、GDPR45条に基づき、欧州委員会が十分なデータ保護水準を満たしているとみなした国に対し、与えられるものです。今後、日本企業は個人情報保護法と補完的ルールを遵守することによって、煩雑な手続き無しに、EU域内から個人データを移転できます。しかし、ここで注意しなければならないのは、十分性認定によって移転された個人データは、国内法である個人情報保護法と補完的ルールだけではなく、依然としてGDPRも遵守する必要があるということです。

 

次回予告

今回は、GDPR適用となる場合とGDPR最新動向である十分性認定についてご説明しました。GDPR適用対象となる企業は、まず社内にEU域内のデータ主体の個人データがどれだけあるか調べてみてください。その後、次回の「GDPR特有の権利とその対策」をご一読いただき、今後のGDPR対策の参考にして頂ければと思います。

 

Topics: データマネジメント

仲程 隆顕

Written by 仲程 隆顕