Q EUで個人情報保護に関する新たなルールが定められ、来年5月に施行されるそうですが、概要を教えてください。(医薬品卸売業)
<回答者>ジェトロ海外調査部
欧州ロシアCIS課長 田中 晋
A 欧州連合(EU)の「一般データ保護規則(GDPR:General Data Protection Regulation)」はEUレベルの個人データ保護法であり、日本の個人情報保護法に相当します。2016年5月24日に発効しましたが、行政罰を伴う適用開始は18年5月25日と定められており、これが実質的な施行日となります。GDPRでは、欧州経済領域(EEA:EU28カ国およびノルウェー、アイスランド、リヒテンシュタイン)で取得した個人データの処理、および個人データをEEAから域外国に移転するために満たすべき法的要件を規定しています。
したがって、EEA内でビジネスを行い、個人データを取得する中小企業を含む日本企業や日本の公的機関に対して、GDPRは幅広く適用されます。もし、企業や公的機関がGDPRへのコンプライアンス対応を怠れば、GDPR違反として企業グループの全世界売上高の4%以下という高額な制裁金を科される可能性があります。GDPR対応において準備すべき主なステップは①現状評価と対応方針の決定②データ保護責任者(DPO)の選任③リスク評価④適法に処理されていることを示す根拠の確認⑤EEA外へのデータ移転の適法化⑥データ侵害時対応の体制整備⑦データ主体の権利確保の7つです。
まず、自社内で保有するEEA内の個人データを把握し、当該個人データの自社における管理、処理、移転の方法およびデータ主体(当該データに関連する個人)との関係を整理(データマッピング)します。次に、その処理方法がGDPRで求められる法的要件を満たしているかをGDPRの規定や、加盟国の国内法(各国が今後、策定するものも含む)および各種ガイドライン(29条作業部会が公表したもの、および今後公表するもの)で確認してGDPRの要求を満たしていない部分を洗い出し(ギャップ分析)、優先順位などを含めた対応方針を決めます。また、関係国の監督当局から照会を受けた際に、適切な体制を整えていることを説明できるよう準備しておくことも肝要です。
データ処理を行う国や処理内容を踏まえ、自社がGDPRで定められる「データ保護責任者(DPO)」の選任義務を負う企業に該当する場合には、その選任を行います。さらに、データ処理のリスク評価を実施し、必要に応じてデータ保護影響評価(DPIA)を行います。DPIAの結果によっては、処理行為を実施する前に、処理を行う当該国の監督機関に相談する必要があります。
GDPRでは、EEA外への個人データ移転は原則違法ですが、EUが十分な水準の個人データ保護がなされていると認定した国、つまり「十分性認定」が与えられた国へのデータ移転は可能です。認定を受けていない第三国に個人データを転送する場合でも、次のいずれかの条件を満たす場合は移転が可能となります。①明確な同意を取得する②標準契約条項(SCC)もしくは③拘束的企業準則(BCR)による適切な保護措置を講じる場合です。なお、日本の十分性認定については、18年の早い時期を目標に作業努力すると日・EU間で確認されています。
GDPRに関するガイドラインの多くは作成中で、17年10月にDPIAのガイドラインが確定する予定であるほか同意、解析、透明性、データ侵害通知、データ移転にかかるガイドラインは12月までに採択される予定です。8月時点での詳細については下記サイトに資料が公開されています。また、自社の状況により必要な対応も異なるため、専門の弁護士等に相談されることをお勧めします。
提供:株式会社TKC(2017年10月)
(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。