※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績をもとに、随時のタイミングでGDPR対応に関連する情報を配信しています。
本稿では2019年2月15日のGDPR関連報道を受け、当社GDPRサポートチームによる日本企業のGDPR対応を含めた簡略な考察についてお送りいたします。
※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績をもとに、随時のタイミングでGDPR対応に関連する情報を配信しています。
本稿では2019年2月15日のGDPR関連報道を受け、当社GDPRサポートチームによる日本企業のGDPR対応を含めた簡略な考察についてお送りいたします。
報道内容の骨子 |
|
---|---|
関連する規制 |
|
2018年5月のGDPRの施行後、約8カ月が経過しましたが、上記のとおり、EU域内に進出している日本企業に対して、個人データの削除要求や開示の請求が行われているとの情報があり、また、その際の企業の対応に対し、各国の監督当局から問い合わせメールが発信されているケースもある状況です。今後違法性が高いと判断された場合には、GDPRに基づく以下のようなアクションがとられることも想定されます。
なお、本人が、GDPRで認められた権利を行使する際に企業の対応が不十分なことに不満を持った場合、上記1のリスクがあることに留意する必要があります。いずれにせよ、顧客、従業員等を含む本人からの権利行使の請求に対し、しっかりとした対応をすることが、リスク低減につながると言えます。
GDPRでは本人自身の情報をコントロールする権利を認めており、各企業は、以下に記載された7つの権利に対応する必要があります。
横にスクロールしてご確認ください
# | 権利 | 対応事項 |
---|---|---|
1 | アクセス権 |
|
2 | 訂正の権利 |
|
3 | 消去の権利(忘れられる権利) |
|
4 | 取扱い制限の権利 |
|
5 | データポータビリティの権利 |
|
6 | 異議を唱える権利 |
|
7 | プロファイリングなどの自動化された取扱いのみに基づいた決定に服しない権利 |
|
GDPRは、日本の個人情報保護法と異なる要件もあり、EU域内にある個人データを取扱っている企業は、GDPRの要件を理解した上で必要な対応を実施する必要があります。「日本は十分性認定を得ることができたから問題ない。」、「日本の個人情報保護法に対応しているから大丈夫。」などと安易に判断せず、GDPRの要件に沿った対応ができているか、改めて見直すことが重要です。
具体的には、バックアップを含めた個人情報の保管場所の特定や利用方法を確認し、GDPRに基づいた要請が来た場合の対処方法をあらかじめ決めておく必要があります。特に「消去の権利(忘れられる権利)」への対応についてはシステムでの対応が必要なケースが多く、現行システムに対する影響調査が不可欠となっています。
(免責事項)
当社は、本内容の正確性・妥当性を保証するものではありません。本内容は、法的アドバイスの提供を目的としたものではなく、本内容の情報によって何らかの損害が発生した場合においても弊社は一切の責任を負わないものとします。
相談やお問い合わせはこちらへ