GDPR Update 日本企業におけるGDPRに基づく請求への対応 ~2019年2月15日付日本経済新聞の報道:「個人情報保護 請求相次ぐ 8カ月で10万件」について~

インサイト
2019.02.01
  • セキュリティ

※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績をもとに、随時のタイミングでGDPR対応に関連する情報を配信しています。
本稿では2019年2月15日のGDPR関連報道を受け、当社GDPRサポートチームによる日本企業のGDPR対応を含めた簡略な考察についてお送りいたします。

報道内容の骨子
  • EU域内に進出している日本企業に対して、 GDPRに基づき、ニュースレターの送付先や元従業員から個人データの削除要求又は開示の請求等が相次いでいる。
  • その際の企業側の対応によっては、各国の監督当局から問い合わせメールが発信されているケースもあり、違法性が高いと判断された場合は立ち入りなど本格調査に進む可能性がある。
  • 日本の個人情報保護法にも類似の権利があるが、GDPRはより幅広い権利や日本法に定めのない権利も含んでいることから注意が必要。
関連する規制
  • GDPR第3章「データ主体の権利」

    第15条 データ主体によるアクセスの権利 第1項「データ主体は、管理者から、自己に関係する個人データが取扱われているか否かの確認を得る権利、並びに、それが取扱われているときは、その個人データ及び以下の情報にアクセスする権利を持つ。」

    第17条 消去の権利(「忘れられる権利」)
    「・・・データ主体は、管理者から、不当に遅滞することなく、自己に関する個人データの消去を得る権利をもち、また、管理者は不当に遅滞することなく、個人データを消去すべき義務を負う。」
    他5つの条文

    個人情報保護委員会作成の仮日本語訳より)

着目すべきポイント

2018年5月のGDPRの施行後、約8カ月が経過しましたが、上記のとおり、EU域内に進出している日本企業に対して、個人データの削除要求や開示の請求が行われているとの情報があり、また、その際の企業の対応に対し、各国の監督当局から問い合わせメールが発信されているケースもある状況です。今後違法性が高いと判断された場合には、GDPRに基づく以下のようなアクションがとられることも想定されます。

  1. 各国監督当局への申し立て
  2. 監督当局から問い合わせメール(初期調査)
  3. 監督当局による立入などの本格調査
  4. 処分

なお、本人が、GDPRで認められた権利を行使する際に企業の対応が不十分なことに不満を持った場合、上記1のリスクがあることに留意する必要があります。いずれにせよ、顧客、従業員等を含む本人からの権利行使の請求に対し、しっかりとした対応をすることが、リスク低減につながると言えます。

 

GDPRで認められた7つの権利

GDPRでは本人自身の情報をコントロールする権利を認めており、各企業は、以下に記載された7つの権利に対応する必要があります。

横にスクロールしてご確認ください

# 権利 対応事項
1 アクセス権
  • 本人からの開示請求に対して、1カ月(遅延の事由がある場合には2か月)以内に保有している情報を開示可能とする。
2 訂正の権利
  • 本人申し出による保有情報の訂正を可能とする。
  • 訂正が完了した際は本人に対し通知を行う。
3 消去の権利(忘れられる権利)
  • 不要となったデータに対し、本人からの申し出があった場合、速やかに削除可能とする。 ※論理削除ではなく、バックアップ媒体を含めたデータの物理削除が必要
  • 消去が完了した際は本人に対し通知を行う。
4 取扱い制限の権利
  • 本人より正確性に対する不服等の理由により、利用制限の申し出があった場合、該当個人情報の利用停止を可能とする。(法的対応時を除く)。
  • 取扱いの停止が完了した際は本人に対し通知を行う。
5 データポータビリティの権利
  • 本人からの依頼に基づき、機械可読性のある可能な形式で、他の事業者に情報の提供を可能とする。
6 異議を唱える権利
  • 正当な利益のため、もしくは公共の利益を目的とした取扱いの場合でも、本人からの申し出に対し、ダイレクトマーケティングや、プロファイリングでの利用停止の申し出に対応可能とする。
7 プロファイリングなどの自動化された取扱いのみに基づいた決定に服しない権利
  • 各種審査業務等において、審査の結果がプロファイリング等の自動化された判断のみにより、決定に至った場合、顧客からの要望に基づき、人手による判断を実施可能な業務プロセスとする。

日本企業にお伝えしたいこと

GDPRは、日本の個人情報保護法と異なる要件もあり、EU域内にある個人データを取扱っている企業は、GDPRの要件を理解した上で必要な対応を実施する必要があります。「日本は十分性認定を得ることができたから問題ない。」、「日本の個人情報保護法に対応しているから大丈夫。」などと安易に判断せず、GDPRの要件に沿った対応ができているか、改めて見直すことが重要です。

具体的には、バックアップを含めた個人情報の保管場所の特定や利用方法を確認し、GDPRに基づいた要請が来た場合の対処方法をあらかじめ決めておく必要があります。特に「消去の権利(忘れられる権利)」への対応についてはシステムでの対応が必要なケースが多く、現行システムに対する影響調査が不可欠となっています。

(免責事項)
当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。

Contact

相談やお問い合わせはこちらへ