日本企業のGDPR対応とは?想定すべき典型要件

2018年12月
  • ※アビームコンサルティングはこれまでに蓄積された企業の個人情報保管・管理に関する知見とお客様サポート実績を
    もとに、今後、随時のタイミングでGDPR対応に関連する情報を配信いたします。
    本稿では、日本企業によくみられる傾向をふまえ、GDPR対応の始走時に必要なトピックをお送りいたします。

GDPRとは
~日本企業が必ずおさえておきたいキーワードと主な要求事項~

GDPRとは、General Data Protection Regulation(EU一般データ保護規則)の略称で、2016年4月14日に欧州議会本会議で可決された規制です。1995年、EUではEUデータ保護指令と呼ばれる法整備に関する指令が採択されていますが、GDPRはこれをベースとしつつ、新たに「データ保護範囲の拡張」、「企業への説明責任の導入」、「制裁・罰則の強化」、「執行手段の強化」等を織り込んでいること、つまり、厳格な管理体制の構築や説明責任を要求する条項が多数含まれている点が大きな特徴といえるでしょう。

11の章、99の条文にわたり詳細且つ広範な要求事項が定められているGDPRですが、一言でまとめると、『欧州域内に所在する個人データの処理・移転に関する規則』であると言えます。欧州の規則ではありますが、対象となるのは欧州に限らず欧州域外への適用も明記されている点には注意が必要で、当然ながら多くの日本企業にも遵守が求められる法規制です。

今回はデータ活用に積極的に取り組む日本企業が特におさえておきたいGDPR関連キーワードを解説します。

【日本企業が必ずおさえておきたいキーワード】

制裁・罰則の強化 違反により制裁金が課せられた場合、最大で企業の全世界年間売上高4%、または2,000万ユーロのいずれか高い方を支払う必要があります。
欧州域内に所在する個人データ 国籍・居住地は問いません。出張者や旅行者等、一時的に欧州域内に滞在している個人のデータも「欧州域内に所在する個人データ」として、GDPR対象に含まれます。
個人データ 識別可能な自然人に関連する全ての情報(名前、識別番号、所在地、Emailアドレス)が該当します。大きな特徴として、IPアドレスやCookie等のオンライン識別子も対象です。
処理 個人データに対して行われる全ての操作を指します。
例) Emailアドレスの収集、クレジットカード情報の保管、顧客連絡先の更新、従業員評価の閲覧
移転 欧州経済領域(EEA)*¹からEEA域外の第三国へ何らかの手段で個人データを持出している場合、移転と見做されます。このような移転はGDPR上原則禁止です。ただし、移転先の第三国が欧州委員会から十分性認定*²されている場合は、移転が許容されます。
例)電子メール送信、連絡先の共有、顧客管理・人事管理システム等の利用
欧州域外への適用 以下のいずれかに関連する欧州域内に所在する個人データの処理を行っている場合、欧州域外であっても適用対象となります。
・欧州域内に所在する個人への商品または役務の提供(有償、無償は問わない)
・欧州域内に所在する個人の行動監視・モニタリング
  • *1 EU加盟28ヶ国、アイスランド、リヒテンシュタイン、ノルウェーの計31ヶ国

  • *2 アンドラ、アルゼンチン、カナダ、フェロー諸島、ガンジー島、イスラエル、マン島、ジャージ島、ニュージーランド、スイス、ウルグアイ、米国(2016年2月にEUと締結したプライバシーシールドの枠組み内)が十分性認定されています。
    本稿執筆時点で日本はまだ認定されていませんが、欧州委員会は2018年9月5日に日本の十分性認定を承認する手続きに入ったと公表しました。 (“Adequacy of the protection of personal data in non-EU countries”, European Commission)

GDPR対応を進める上で、特におさえておきたい点は以下の事項です。BtoB事業のみを行っている場合は、従業員や仕入先・販売先の個人データが対象となりますが、BtoC事業を行っている場合は、グローバルベースの顧客の個人データも対象となるため、管理対象となる個人データが広範囲になります。

【主なGDPR要求事項】*3

要求事項 概要
個人データ処理の適法性確認 個人データの処理は、①データ主体の同意取得 ②契約履行 ③法令順守 ④重大な利益保護 ⑤公共の利益 ⑥正当な利益 のいずれかの目的を満たす場合、適法な処理となる。
データ移転対応 データ移転先所在国が十分性認定を受けていない場合、SCC、BCR等の保護措置が必要。データ移転先所在国が十分性認定を受けた場合、当該データ移転先所在国へデータ移転を行うことができる。
説明責任 個人データの処理に関する諸原則(適法性、公正性及び透明性、目的の限定、データ最小化、正確性、保存の制限、完全性及び機密性)を遵守し、かつそれを実証できなければならない。
データ保護責任者 (DPO)の設置 政府機関、または大規模調査を実施する企業や特殊なカテゴリーのデータを大量に処理する企業は、データ保護責任者(DPO)の選任が求められる。
データ漏洩時72時間 以内報告 GDPRに違反する事実が発覚した場合、発覚から72時間以内に監督機関へ報告する必要がある。違反がデータ主体に大きなリスクをもたらす場合、データ主体への通知も求められる。
外部委託先管理 データ処理に外部委託先を利用する場合、適切な技術的及び組織的な対策を実施することを十分に保証する処理者のみを利用しなければならない。
個人への情報通知 個人データを収集・取得する場合、対象となる個人に対して問い合わせ先等の所定の情報を提供する。
データ保護影響評価 新たな技術を用いることで個人の権利や自由に高リスクを生じさせる可能性のあるデータ処理を行う場合、事前に個人データ保護への影響評価を実施しなければならない。
個人の権利への対応 データ主体の権利が拡大され、データ主体は、データ管理者に自らの個人データの削除を求める権利や、自らの個人データの処理を制限する権利等を有する。
処理活動の記録 管理下にある処理活動の記録を保持・管理しなければならない。(記録に含めなければならない必須情報あり)
データセキュリティ データ処理の保護レベルをリスクに見合ったものにするため、個人データの仮名化(かめいか)や暗号化等、適切な技術的及び組織的対策を実施しなければならない。
代理人選任義務 GDPRの適用がある欧州域内に拠点がない事業者がGDPR域外適用を受ける場合、原則として欧州域内に代理人を配置しなければならない。
  • *3 ここに記載した要求事項はあくまで一例であり、これらの対応を以ってGDPR対応の網羅性ならびに正確性を担保するものではございません。また、要求事項によっては免除規定や該当条件が記されている場合もあります。詳しくはGDPR条文をご確認ください。

日本企業は必見  GDPR対応の進め方
~GDPR対応における5つのステップ~

GDPRにおいて、特に欧州にビジネスを展開している日本企業が頭を悩ませているのは、自社がどのようにGDPRに遵守すればいいのかということです。GDPRは解釈の幅が広いため、どの様に対応を進めれば良いかの判断が難しい点が背景にあると言えるでしょう。アビームコンサルティングでは、日本企業によくみられるケースをふまえ、以下5つのステップに分けて対応を進めることが有効と考えています。

 

ステップ1.計画・準備
自社がGDPRの規制対象となるか、GDPRで定められた各種要件に照らして対応要否を判断する。規制対象となる場合、データ量や対象業務・システムを特定する。

プロジェクト体制構築が容易でないことが想定されます。本プロジェクトは、「法務(又はコンプライアンス)×IT」というこれまであまり経験の無い観点での対応を、グローバルベースで推進する必要があります。しかし、管掌役員が異なることなど組織的な理由から、プロジェクトを強力にリードする役員等をヘッドにした体制の構築がスムーズに進まないおそれがあります。

 

ステップ2.影響分析
自社内で扱っている個人データを一覧化し、「誰が」「何の目的で」「何の」データを「どのように」扱っているか等の現状を明確にし、GDPR要求事項と比較した両者のギャップを洗い出す。

グローバル拠点から、個人データの取扱状況を同水準の精緻さで、効率的に報告してもらうことは容易でないことが想定されます。言語・文化・作業の精度・所属会社などが様々であるグローバル拠点の多数の担当者に、標準化した方法で報告をしてもらい、報告後の確認のためのやり取りを最小限にするには、周到な準備が不可欠です。

 

ステップ3. 対応方針・計画作成
ステップ2で洗い出したギャップを埋めるための対応案を作成し、必要に応じて弁護士等の第三者検証を実施の上、GDPR対応方針を確定させる。

解釈の幅が広い規制対応に見られる傾向として、最初から100点満点を目指した結果、多大な時間とコストをかけてしまい、過剰な規制対応を講じてしまう点があげられます。過剰対応を回避するためには、発生し得るリスクの大きさ等から優先順位をつけることが重要です。GDPRが既に施行されている現在、自社にとり可及的速やかに対応すべき事項を明確にし、計画を策定する必要があります。

 

ステップ4. 実装・展開
ステップ3で作成した対応方針・計画に基づき実装を進める。実装後、社内従業員や子会社、外部委託先等に展開する。

DPOの設置、データ保護影響評価の実施、データ漏洩時72時間以内報告等のGDPR要求事項への対応に加え、既存のデータ保護方針改訂や、個人データを取り扱う業務・システムの見直しも視野に入れる必要があります。
特に、グローバルに拠点を持つ企業では、言語等の問題から国別で導入しているシステムが多いことから、決定した対応策の実装に時間やコストがかかることが想定されます。

 

ステップ5. 継続運用
定期的なモニタリングにより、GDPRが遵守されていることを確認する。自社の体制や業務内容に変更が生じた場合、必要に応じてステップ3で作成した対応案を修正し、再度ステップ4の実装・展開をする。

自社で定めたGDPRコンプライアンス・プログラムの運用状況を定期的にモニタリングすることに加え、新規ガイドライン公表や最新の制裁事例が明らかになった場合、ならびにデジタルトランスフォーメーションの推進、AI等最新テクノロジーを活用した業務の新規導入等を行う際は、当該プログラムの更新要否を判断の上、GDPR対応方針を見直す等の取り組みが必要です。

 

自社にとって、最優先で対応すべき事項は何か?
~自社の現状を正確に把握し、GDPR適用リスクの所在を明らかにするために~

冒頭で述べた通り、GDPRは既に施行が始まっています。本稿執筆時点でGDPR違反による制裁事例はまだ確認されていませんが、サイバー攻撃やセキュリティ不備による顧客情報流出事故はGDPR施行後も継続的に発生しており、当該事故がGDPRの制裁対象となっても不思議ではありません。

仮に制裁対象となった場合、高額な制裁金だけでなく、レピュテーションの毀損やデータ主体である個人による訴訟対応等、GDPR違反に端を発する二次的被害が及ぶ事も十分に想定されます。
施行が始まっている現在、制裁金をはじめとする各種リスクを極力抑え・回避するためには、できるところから着実にGDPR対応を進め、当局等に対してGDPR遵守を対外的に説明できる状態にすることが重要となります。

アビームコンサルティングでは、GDPR対応計画の立案後、まず始めに必要となるデータ処理状況の棚卸に相当するデータマッピング作業段階からの支援実績を有し、日本企業に見られる個人データを取扱う業務・システムの特徴を踏まえた上、日本企業がGDPR対応で特に留意すべき点を洗い出す事に対する知見を有しています。この知見を活用しつつ、GDPR対応を進める企業の皆様のナレッジ充溢に少しでも貢献したいと考えています。

次回以降、日本企業の個人データ取扱いの特徴を意識し、データマッピングの注意点、データ処理の適法性確認、データ移転対応、GDPRの域外適用等などGDPRに対応するために必要な準備事項について解説していきます。

page top