今年の3月にアメリカのボストンで開催されたEDW2019では、GDPRについてのセッションが多数開催されていました。GDPRが施行されて早1年が経ちましたが、セッションの参加者も多く、これからGDPRに対応する米企業が多いことに驚きました。
そこで日本企業の取組状況が気になって調べたところ、ある調査結果を発見しました。2019年5月31日にJIPDEC/ITRから発行された「企業IT利活用動向調査2019」によると、GDPRに全く対応できていない日本企業が全体の3割超あるそうです。
<GDPRの対応状況>
みなさまの会社はすでにGDPRの対応が終わっていますか?
GDPRは日本の個人情報保護法よりもずっと厳しく、個人情報を保護しています。おまけに、違反した場合の制裁金はとてつもない金額です。
平成29年度、国内の個人情報の取扱いにおける事故は2,399件ありました。(参考:JIPDEC)一方GDPRは、施行からの1年間でデータ侵害が約89,000件、苦情・問合せが約144,000件ありました。さらに、そのうちの446件では訴訟手続きが進められています。(参考:EDPB)
出展:EDPB 「1 year GDPR – taking stock」
GDPRの事故件数を合計すると、実に日本の100倍以上の数が報告されていることになります。
現在GDPR未対応の企業は、未対応でいることが想像よりずっと大きなリスクであることを知る必要があります。本記事ではそんな企業に向けて、これからのGDPR対策の参考にしていただきたい内容をご紹介します(全2回)。
- GDPRが適用になる場合とは?
- GDPR最新動向
- GDPR特有の権利とその対策(次回)
GDPRが適用になる場合とは?
以下の3つの条件のうち、1つでも該当する場合、GDPRが適用されます。
- EU域内に拠点を持つ(GDPR前文22項参照)
- EU域内のデータ主体に商品、サービスを提供する(GDPR前文23項参照)
- 行動の監視(※)をする(GDPR前文24項参照)
(※)・・・「行動の監視」とは、データ主体の個人的な嗜好、行動及び傾向を分析または予測するために、データ主体をインターネット上で追跡することです。よって、EU域内のデータ主体に対するターゲティング広告などは、「行動の監視」に当たると考えられます。
GDPRが適用になる場合、企業はGDPR適用となる個人データがどれだけ社内にあるのか把握する必要があります。このとき、EU域内のデータ主体の個人データか否かをその国籍や住所で判断しないように気を付けてください。EU域内のデータ主体はEU域内に所在している人(who are in the Union)である、とGDPRでは定められています。(GDPR3条2項)したがって、普段はドイツ在住ですが、現在日本に旅行に来ている人の個人データを取得しても、GDPR適用の対象にはならないと考えられます。ところが、EU域内に短期滞在中、出張中の日本人から取得した個人データは、GDPR適用の対象になると考えられます。
GDPR適用の個人データが社内にたとえ1件しかなかったとしても、そのデータはGDPRの求める保護水準で管理しなければいけません。個人情報保護法では認められていないGDPR特有の権利について知り、その対策を取る必要があります。
GDPR最新動向
規制の厳しいGDPRですが、2019年1月23日、日本企業にとって嬉しいニュースがありました。それは、日本が欧州委員会から「十分性認定」を受けたことです。十分性認定とは、GDPR第45条に基づき、欧州委員会が十分なデータ保護水準を満たしているとみなした国に対し、与えられるものです。今後、日本企業は個人情報保護法と補完的ルールを遵守することによって、煩雑な手続き無しに、EU域内から個人データを移転できます。しかし、ここで注意しなければならないのは、十分性認定によって移転された個人データは、国内法である個人情報保護法と補完的ルールだけではなく、依然としてGDPRも遵守する必要があるということです。
次回予告
今回は、GDPR適用となる場合とGDPR最新動向である十分性認定についてご説明しました。GDPR適用対象となる企業は、まず社内にEU域内のデータ主体の個人データがどれだけあるか調べてみてください。その後、次回記事でご説明する「GDPR特有の権利とその対策」についてご一読いただき、今後のGDPR対策の参考にして頂ければと思います。
次回→『厳しさは国内法の100倍? これからのGDPR対策について(2/2)』
参考情報
データガバナンスに興味がある方へ データガバナンスセミナー
データを正しく利活用するためには、適切な方法で「データガバナンス」を行う必要があります。しかし、これまでデータは業務部門とIT部門の間にまたがる形で放置され、誰がガバナンスするのかさえ曖昧になっているケースも多く、「一体どこから手をつけたら良いのかわからない」という声がよく聞かれます。
本セミナーでは、データ活用におけるデータマネジメント・アセスメント事例をベースに、データ活用をしていく上で何をガバナンスしなければいけないかをお話するとともに、実際どのようにガバナンスすればよいのかを、データガバナンスに特化したツールとあわせてご紹介いたします。
データガバナンスに必須の人材! データアーキテクト養成コース
データを活用するためにはデータマネジメントが欠かせないという認識が広まるにつれ、その推進役となるデータアーキテクトの必要性がますます高まっています。
データの本来あるべき姿を定義し、守らせるための組織・制度を設計し、これらを基に、プロジェクト現場に実際に守らせる...その役目を担うのがDA(データアーキテクト)です。
本コースでは、データアーキテクトとして求められる役割と、その実践ノウハウを学ぶことができます。