GDPRへの対応の必要性は、実は日本企業も例外ではありません。EU域内に事業拠点を置いている事業者はもちろん、そうでない事業者でも対応が必要になる場合があります。
貴社は適用対象なのか、どんな対応が必要なのか、本記事では適用対象ととるべき対応について基本的なポイントをまとめました。まずはご一読ください。
企業がやるべきセキュリティ対策がわかるセキュリティチェックシートを無料で配布しています。まずはチェックしてみてください。
GDPRとは
EUでは、「GDPR(General Data Protection Regulation:一般データ保護規則)」が2016年4月に制定、2018年5月25日に施行されました。これは、ヨーロッパ連合(EU)の個人データ保護に関する法的枠組みです。
GDPRの主な目的は、EU内(厳密には欧州経済領域内)での個人データの保護とプライバシーの権利を強化することです。個人データの収集、処理、保管、利用に関与する組織に対して厳格な基準と責任を課すことで、個人のプライバシーを保護します。
日本企業にも適用される可能性のある重要な個人データおよびプライバシー保護法令の1つです。少し具体的に見ていきましょう。
GDPRの適用範囲
GDPRは、EU域内の企業や、EU居住者である個人データを処理する外部の企業に適用されます。EU域内に拠点を持たない企業でも、EU内の個人データを取り扱っている場合にはGDPRの遵守が求められます。
GDPRに定められる主な原則
GDPRには、基本となる考え方があります。個人データやプライバシーの保護のため、以下のような「原則」に従って、個人データを取り扱うことが求められます。
- 適法性、公正性及び透明性(lawfulness, fairness and transparency)
- 個人データの処理は合法、公正かつ透明に行われるべきです。
- 目的の限定(purpose limitation)
- 個人データは明確に特定された目的のために収集され、処理されるべきです。
- データの最小化(data minimisation)
- 収集する個人データは必要最小限の範囲に限定されるべきです。
- 正確性(accuracy)
- 処理される個人データは正確かつ最新のものとされるべきです。
- 記録保存の制限(storage limitation)
- 個人データは必要な期間のみ保存されるべきです。
- 完全性及び機密性(integrity and confidentiality)
- 個人データの適切な安全性を確保する必要があります。
- 責任制(accountability)
- 上記6つの原則について、管理者が責任を負い、遵守していることを証明しなければなりません。
GDPRにより個人に保障される権利
GDPRの特徴として、個人の情報に対する関与を十分に行うことが確保される規定を持っています。例えば、以下のような権利が個人に保障されているものです。
- 同意の撤回権(Right to withdraw his or her consent)
- 個人データの収集や処理には明示的な同意が必要であり、個人はいつでも同意を撤回できる権利があります。
- アクセス権(Right to data portability)
- 個人は自身のデータにアクセスし、自身の目的のもとで利用する権利があります。
- 忘れられる権利(Right to erasure / Right to be forgotten)
- 個人は自身のデータの削除を要求する権利があります。
GDPRが適用される企業等の要求される事項
個人に保障される権利を保護するため、GDPRが適用される企業においては、次のような義務が定められています。
- データ保護責任者(DPO)の指名(Designation of the data protection officer)
- 個人データの処理を監督するために、一部の組織はデータ保護責任者を指名する必要があります。
- データ保護影響評価(DPIA:Data protection impact assessment)
- 高リスクな個人データ処理活動には、事前にDPIAを実施する必要があります。
- 個人データ侵害時の通知(Notification of a personal data breach to the supervisory authority)
- 個人データ侵害が発生した場合、監督機関に対して可能な限り遅滞なく(72時間以内)通知する必要があります。
GDPRは個人データの保護に関する包括的な枠組みであり、企業や組織に対して個人のプライバシーを尊重し、データの適切な処理を求めています。逆に言えば、これらの要件を遵守することで、個人データの保護を強化し、信頼性のあるデータ処理を実現することが可能でもあります。
また、GDPRは個人データやプライバシーの保護法令としては、それまでのEUデータ保護指令よりも厳格な内容を持っています。EU内に居住する個人の個人データを収集・取り扱う日本の企業にも適用される可能性がある点も大きな特徴です。
GDPRが発令された目的
GDPRが発令された目的は、以下のようにまとめることができます。ポイントは、個人の保護・権利の強化と、企業の責任の強化です。
データ保護の強化・統一
GDPRは、個人データの保護とプライバシーの権利の強化を主な目的としています。EU居住者の個人データは、より一層の保護と管理が求められます。
また、これまで国によって異なっていた個人データ保護の基準をEU域内で統一しようとの意図もあります。
個人による自身のデータコントロールの権利の保障
GDPRは、個人が自身のデータをより効果的に制御できることを目指しています。EU居住者である個人は、自身のデータがどのように収集・処理されるかに関する情報を提供される権利を持ちます。
データ移転時のルール化と利便性の向上
GDPRは、第三国や国際機関へのデータ移転における、データ保護の水準やその評価の際に考慮する内容を記載しています。
企業の透明性と責任の強化
GDPRは、個人データを処理する企業に対して、より高い透明性と責任を求めています。企業は、個人データの取得、処理、保管、利用方法を明確に示し、適切なセキュリティ対策を講じることが求められます。
GDPRの適用対象になる企業
EU内に拠点を持つ企業
GDPRは、EU内に拠点を持つ企業に対して直接的に適用されます。EU内に本社、支社、子会社、または事業所を持つ企業は、GDPRの要件を遵守する必要があります。
EU内の個人データを処理する外部企業
GDPRは、EU内の個人データを処理する外部の企業にも適用されます。例えば、EU内の顧客データを処理するクラウドサービスプロバイダーやデータ処理業者も、GDPRの要件を遵守する必要があります。
EU外の企業でも、EU内の個人データの収集やサービス提供を行う場合
GDPRは、EU外の企業に対しても適用されます。EU内の個人データを収集し、EU内の顧客にサービスを提供する企業は、GDPRの要件を遵守する必要があります。
重要な点として、GDPRは企業の所在地や国籍によって適用範囲が定められるのではなく、EU内の個人データの処理や関与に基づいて適用されるということです。
そのため、日本企業であっても、EU内の個人データを取り扱う企業は、GDPRの要件を遵守する義務を負っています。
ちなみに、GDPRの条項には、実体的適用範囲(Material scope)と地理的適用範囲(Territorial scope)の両方が記載されています。
GDPRが適用される情報の種類
GDPRは、EU内で処理される個人データ(personal data)の保護を対象としています。個人データとは、自然人(Natural person:生存している個人のこと)を識別する、もしくは識別可能な情報を指します。
具体的には、名前、住所、電子メールアドレス、銀行口座情報などが含まれます。また、意外かもしれませんが、Cookie情報・IDの文字列なども個人データの範囲に含まれます。
情報の種類に加え、GDPRは、個人データの「取扱い(processing)」に関して適用されることにも注意が必要です。取扱いとは、個人データの収集、記録、構成、保存、修正、利用、開示、削除など、データに対するあらゆる操作を指すものです。個人データの処理の一部を行っている場合でも適用されること、また、EU域外にも適用があることに注意しておきましょう。
GDPRでの個人データの取扱い
以下は、GDPRでの個人データの取扱いにおける要求事項のポイントです。すでにご紹介した合法性、透明性、目的制限、データ最小化、正確性、最新性の原則を守る必要がありますが、特に下記が重要になってきます。
記録保存の制限(storage limitation)
個人データは、目的に応じて保存期間が必要な期間のみ保持されるべきです。データの保存期間は明確に定義され、保存期間が終了した場合はデータを削除する必要があります。
完全性及び機密性(integrity and confidentiality)
個人データは適切なセキュリティ対策を講じて保護されるべきです。データへの不正アクセス、紛失、破壊、漏洩などからの保護が求められます。
個人の権利の尊重(accountability ほか)
GDPRでは、個人の権利を尊重するための規定があります。個人は、自身のデータにアクセスし、修正や削除を要求する権利を持ちます。また、そもそも個人データの取得・取扱いには同意が必要で、かつ、同意が取れていることを証明する方法も用意しなければなりません。
GDPRは個人データの取扱いに関して、合法性、透明性、目的制限、データ最小化、正確性、最新性、保存期間、セキュリティ、個人の権利の尊重……といった原則を提示しています。これらの原則を遵守することによって、個人データの適切な取扱いとプライバシーの保護が実現されます。
GDPRに違反した場合はどうなるか
監督機関による制裁措置
データの管理者および処理者がGDPRに違反した場合、各EU加盟国の各監督機関(管轄当局)が適切な制裁措置を課す権限を持ちます。これには、警告や勧告、改善命令、制限措置、データ保護違反の通知、データ処理活動の一時停止などが含まれます。
監督機関による制裁金
監督機関は、GDPRに違反した企業や組織に対して制裁金を科すことが、効果的とされます。制裁金の額は、違反した条項にもよりますが、1000~2000万ユーロ以下もしくは、事業の直前の会計年度における売上総額の2~4%以下、とされています。
個別の損害賠償請求
GDPRでは、個人データの適切な保護が行われなかった場合に、金銭的・もしくは非金銭的な被害を受けた個人が損害賠償を請求することができます。個人データの漏洩や不正アクセスなどが原因で発生した被害に対して、企業や組織は損害賠償の責任を負う可能性があります。
GDPRで日本企業が対応すべき内容
日本企業がGDPR対応として行うべきことについてまとめました。
データの特定と分類
まず、企業は、業務でEU居住者の個人データの取扱いの有無を特定します。取扱いがある場合、個人データを洗い出し、適切に分類する必要があります。個人データの種類やカテゴリ、保存場所、利用目的などを明確に把握することが重要です。
特定された個人データの保管においては、マイナンバーのように厳格にデータを分離する必要はありません。しかし、システム上のフラグ付けなどにより、GDPR適用対象となる個人データを容易に識別できるようにすることも実務上重要です。
プライバシーポリシーの作成
適用対象企業はGDPRに対応した、明確で理解しやすいプライバシーポリシーを作成し、ウェブページなどで公開する必要があります。そうすることで、自社の個人データ管理フローの洗い出しやリスクの明確化ができます。このポリシーには、個人データの収集方法、利用目的、第三者への提供、セキュリティ対策、個人データ主体の権利などが含まれるべきです。
プライバシーポリシーの内容には、GDPR対応として以下のような規定を含んでいることが必要です。
- 1.データの収集と利用目的
- プライバシーポリシーは、個人データの収集方法とその利用目的を明示する必要があります。企業は、どのようなデータを収集するのか、どのような目的で使用するのかを明確に説明する必要があります。
- 2.データ処理の法的根拠
- GDPRでは、個人データの処理には法的根拠が必要です。プライバシーポリシーは、企業がデータを処理するための具体的な法的根拠を示す必要があります(例:同意、契約履行、法的義務など)。
特に、プライバシーポリシーには、同意の取得方法や同意を撤回する手続きを明示し、同意が自由意思に基づいていることを確保する必要があります。ポリシー改訂だけでなく、必要に応じて、Web サイトの改修・フォームの送信など、同意の方法を整備する必要もあります。 - 3.個人データの保管とセキュリティ
- ポリシーは、企業が個人データを適切に保管し、セキュリティ対策を講じることを明示する必要があります。データの漏洩や損失を防ぐために、企業が採用する技術的・組織的な対策やセキュリティ規程を説明する必要があります。
- 4.データの共有と第三者への提供
- ポリシーは、個人データが必要な場合にのみ、第三者と共有されることや提供されることを明示する必要があります。共有されるデータの種類や受取り先のカテゴリ、その根拠を明確に説明する必要があります。
- 5.個人データ主体の権利
- GDPRでは、個人データ主体の権利を尊重する必要があります。ポリシーは、個人データ主体がアクセス、修正、削除、データポータビリティなどの権利を行使する方法を説明し、その要求に対する企業の対応手順を示す必要があります。
- 6.データ移転
- GDPRでは、EU域外への個人データの移転には特定の条件があります。日本企業がEU域外にデータを移転する場合は、適切な保護措置(例:EU委員会が認める標準契約条項や適格なメカニズム)を講じる必要があります。プライバシーポリシーは、EU域外へのデータ移転が行われる場合にどのような措置が取られるかを説明する必要があります。
- 7.プライバシーポリシーの変更
- 企業は、プライバシーポリシーを定期的に見直し、変更することがあります。ポリシーは、変更があった場合にその変更が通知される方法や効力の発生時期について説明する必要があります。
個人情報を最小限にするための施策と保存期間の制限
加えて、GDPRでは個人データの最小化と保存期間の制限が求められます。企業は、個人データの収集を最小限に抑え、保存期間を明確に定め、不要な個人データを削除するための適切な措置を講じる必要があります。これらは文書管理規定や情報セキュリティ規定の改訂や、規定に基づく施策で対応していきましょう。
以上が、GDPR対応の具体的な内容です。もちろん、ここに書いたことが全てではないですし、取り扱う個人データの数・種類、業態によってより詳細な対策を詰めていく必要があります。
もっと具体的に知りたい、という方は下記なども併せてご参照ください。
まとめ
GDPRは、日本企業にも適用される可能性がある、個人データの保護・プライバシー保護を目的とする規則です。個人データの保護・プライバシー保護のため、具体的な施策をプライバシーポリシーとしてまとめながら実行する必要があります。
GDPRは違反時の制裁が厳しいという特徴もあります。もし対策が不十分かもしれないと思われるのであれば、外部コンサルタント・専門家に相談することもご検討ください。
