※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績をもとに、随時のタイミングでGDPR対応に関連する情報を配信しています。
本稿では、2019年1月21日の関連報道を受け、当社GDPRサポートチームによる日本企業のGDPR対応を含めた簡略な考察についてお送りいたします。
※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績をもとに、随時のタイミングでGDPR対応に関連する情報を配信しています。
本稿では、2019年1月21日の関連報道を受け、当社GDPRサポートチームによる日本企業のGDPR対応を含めた簡略な考察についてお送りいたします。
(免責事項)
当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。
報道内容の骨子 |
|
---|---|
関連する規制 |
|
本件で着目すべきポイントは、これまでしばしば報道されてきた、企業の「個人データの漏洩事故」に伴うものではなく、個人データの取扱の際の「公正性」「透明性」が不足していたことが違反の対象になっているという点です。このことは、GDPRが個人のプライバシー保護を目的とした規制であることを考えると容易に理解できますが、GDPR対応として、個人データが漏洩しないような仕組み作りや、万が一発生してしまった場合に72時間以内に所定の報告を行う体制を構築すれば一安心とはいかないことに、十分な理解が必要です。
さらに、個人データ取得の同意を得る際には、目的や保存期間について利用者にわかりやすくすること、収集した個人データがどの範囲で使われるかを利用者が認識しやすいようにすることなどの要件を、より厳格にとらえて対応する必要があります。これら2点については、G社のようなIT企業だけでなく、他の業界にも当然当てはまるため、一部業界に限定された課題ではないことに留意する必要があります。
時期を同じくして、欧州委員会が日本の「十分性認定」を行うことを決定しました。(2019年1月23日) これにより、EUから日本に個人データを「持ち出す(移転)」際に利用されていたSCC(標準的契約条項)は不要となり、手間やコストが削減できることになります。
ただし、注意すべき点として、今回日本が欧州委員会から十分性認定を受けたからといって、EU域内から移転された個人データの取り扱いについて何ら対応する必要はないということではありません。今回の日本に対して行われた「十分性認定」に際して、個人情報保護委員会が公表している「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を公表しており、日本企業は、EU域内から日本国内への個人データの移転に際しては、日本の個人情報保護法及びこの補完的ルールを遵守する必要があります。
今回、G社がCNILから指摘されたのは、取得した個人データを「処理」する際の同意取得方法が、不十分だったという点といえますが、GDPRを考える場合、つい個人データの漏洩問題に注目が行きがちですが、今回のG社の制裁金のケースは、個人データの取得段階から適切な対応をしなければならないという教訓を与えるものであり、日本企業も「十分性認定がなされたことで、GDPR対応はもはや不要」という認識は正しくない点を理解しておく必要があります。
これらの一連の動きを受けて、自社のGDPR対応が「データ漏洩事故等が発生した場合の迅速な対応ができる体制整備」や「社内規程の整備」などに重心が傾きすぎていなかったかについて、振り返ることが重要です。
具体的には、個人データの取得に際し、顧客の同意をどのように得ているか、提示している個人データの利用方法が具体的かつ明示的になっているか(可能性や、事例を挙げるだけでは不十分)、確認する必要があります。
そのためには、個人データを利用している業務を漏れなく洗い出し、取得の法的根拠や利用目的を明確にしていく対応が重要です。その上で、明確化されたかかる内容を必要に応じて、EU域内の顧客や自社従業員等との間で取り交わす同意文面に反映する必要があります。
なお、日本企業のGDPR対応推進上の課題には、EU域内拠点だけの対応にとどまってしまい、全社プロジェクトとしての体制が構築されていないパターンと、日本の本社主導でプロジェクトを推進しているものの、特にEUの買収子会社等を十分に巻き込めていないパターンが代表として挙げられます。GDPR対応は、これらにも留意しつつ、優先度をつけて社内横断的に一気に取り組むことが重要です。
相談やお問い合わせはこちらへ