• 前田 英継

GDPRに関して


ここ最近、数人のお客様からGDPRに関してのご質問をいただきました。

正直、不勉強なのでヒヤヒヤしながらある程度の回答をさせていただきました。

どうやらGoogleからGoogleアナリティクス360Suite(簡単に言えば、Googleアナリティクスの有料版です。)とGDPRに関連したメールが送られているのが原因のようです。

そこで今日はこのGDPRに関して私がわかる範囲でご説明しようと思います。

GDPR(General Data Protection Regulation)は一般データ保護規則と訳されています。

欧州経済領域(EEA)つまりEU加盟28カ国にアイスランド、リヒテンシュタイン、ノルウェーを加えた域内での個人データの保護を目的とした規則で、2016年4月27日に採択され、2018年5月25日より適用されます。

規則の目的としては、「地域内の各個人が自分自身の個人データについてコントロールする権利を保証する。」「地域内の統一された規則を制定する。」ということになるかと思います。

ここで言う個人データとは、GDPR第4条で次の通りに定義されます。

「個人データとは、識別されたまたは識別され得る自然人に関する、あらゆる情報。識別され得る自然人とは、氏名・識別番号・位置データ・オンライン識別子のような識別子・あるいは当該自然人に関する物理的・生理的・遺伝子的・精神的・経済的・文化的・社会的アイデンティティに特有な一つもしくは複数の要素を参照することによって、直接的に、または間接的に識別され得る者を言う。」

また個人データの種類としては次のようなものが挙げられます。

  • 氏名

  • 識別番号

  • 所在地に関するデータ

  • メールアドレス

  • オンライン識別子(IPアドレスやクッキーなど)

  • クレジットカード情報

  • パスポート情報

  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

GDPRでの保護対象となる個人データの範囲。

まずは、EEA内に所在する個人。この場合、国籍や居住地などは問いません。

そして以下のような場合も範囲に含まれます。

  • 一時的にEEA内に所在する日本人の個人データを日本に移転する場合。

  • 日本企業からEEA内に出向した従業員に関する情報。

  • 日本からEEA内に個人データを送る場合。

  • 日本からEEA内に送付され、EEA内で処理された個人データを日本へ移転する場合。

GDPRが適用される範囲

  • 管理者または処理者がEEA内で行う個人データの処理。

  • 管理者または処理者がEEA内に拠点を有しない場合であっても、次にいずれかの場合にはGDPRが適用される。

  • EEAのデータ主体に対して商品またはサービスを提供する場合。

  • EEAのデータ主体の行動を監視する場合。

ここで言う「管理者」とは、EEA所在者から個人データを収集する組織を指します。

また「処理者」とは、データ管理者の代理として個人データの処理を行う組織をさします。

注意する必要があるのはここで、例えば日本に本社のある企業のホームページで、EEA内に所在する人に対して商品やサービスを販売する場合、この日本企業にGDPRが直接適用される可能性があります。

組織の規模については、問いません。ただし、個人データの処理に関する義務のうち、データ処理記録の保管義務については被雇用者250名未満の組織を免除する旨の規定があります。

個人データ管理者の責任

個人データの処理にあたって以下の事項の遵守が求められます。

  • 個人データの処理や保管にあたり、適切な安全措置を講ずること。

  • 個人データ処理を行う目的の達成のために必要な期間を超えて個人データを保持し続けてはならない。

  • 個人データの侵害が発生した場合、その旨を監督期間に対して72時間以内に通知しなければならない。

また個人データの移転に関して、次のような規制があります。

  • EEA域内から域外への個人データの移転は原則として認められない。

  • 欧州委員会より「適切な個人情報保護制度を有している。」と認められていない国への個人データの移転に当たっては、①個人データの主体(本人)から明確な同意を得る。②欧州員会が策定した標準契約条項を採用する。(欧州員会の承認が必要。)③企業が拘束的企業準則を策定し、欧州員会の承認を得る。などの要件を満たす必要があります。

また欧州委員会より適切な個人情報保護制度を有していると認められているのは現状、11の国と地域のようです。(スイス、カナダ、アルゼンチン、ガーンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド)つまり、日本は認定を受けていません。

個人データの取得にあたっての通知義務

企業が個人データを取得するにあたり、次のような義務があります。

  • 企業は管理者として自らの身元や連絡先、データ処理の目的、第三者提供の有無、保管期間、データ主体が有する権利などについて明瞭でわかりやすい表現によりデータ主体に通知しなければならない。

  • 企業は上記により明確な方法によって同意を得ると共に、データ主体が同意を自由に撤回することができる権利を適切に行使できるようにしなければならない。

  • 個人データをデータ主体から直接取得していない場合、企業は当該情報の入手先を本人に通知しなければならない。

GDPRの適用対象となる日本企業

  • EEA域内に子会社や支店、営業所を有する企業。

  • 日本からEEA域内の個人に対し商品やサービスを提供している場合。

  • EEA域内の企業から個人データの処理に関して委託を受けている企業。

罰則規定


1ユーロ130円で計算しても、13億円あるいは26億円の制裁金です。とても知らなかったでは済まないですね。

該当する企業の場合には、厳しい解釈を行なった上での対策が必要だということです。

#日記

お問い合わせはこちらから