1. TOP
  2. GDPR(一般データ保護規則)について

GDPR(一般データ保護規則)について

 

2018年5月25日より、欧州経済領域(以下EEA)にて個人情報の保護に関する法律『一般データ保護規則(General Data Protection Regulation:以下GDPR)』が施行されました。

日本国内に本社を置く企業であっても、欧州と売買取引がある場合や、欧州で働く従業員がいる場合などは対象となる可能性があるため、納品先や従業員の氏名、住所、メールアドレス、IPアドレスなどの個人情報の管理強化が必要です。

GDPRとは?

EEA域内(※1)に所在する個人に関するあらゆる情報(「個人データ」)を保護するため、「処理(※2)」と「移転」を規制する法律です。

欧州の顧客(消費者)や取引先、従業員などの個人データを保管・収集している企業、公的機関、自治体、非営利法人などが主な適用対象となります。

また、「EEA域内に所在する個人」は国籍や居住地を問わないため、例えば日本からイギリスに出張している従業員の情報をEEA域外に移転する場合なども、適用の対象となります。

※1 EEA加盟国は、EU加盟国28か国にアイスランド、リヒテンシュタイン、ノルウェーの3か国を加えた31か国です。
※2 処理:取得、記録、編集、保存、修正または変更、参照、利用、送信による開示、周知、消去、破壊など

 

GDPRで求められること

GDPRは、保護対象となる個人情報を「処理」し、EEA域外の第三国に「移転」する際に果たすべき義務について定めています。

1.個人情報の「処理」について

個人データの「処理」に関しては、6つの原則を順守する義務と、管理者がその順守を証明できることが求められています。

1.法律に沿って、公正かつ透明性のある手段で行うこと(適法性、公平性および透明性の原則
2.事前に特定された、明確で合法的な目的のために行うこと(目的の限定の原則
3.目的に対して必要最小限のデータに限ること(データの最小化の原則
4.データを正確かつ最新の状態に保つこと(正確性の原則
5.必要な期間を超えて、個人が識別できる状態で個人データを保存しないこと(保存の制限の原則
6.不正や事故によるデータの紛失や破壊に対して、適切なセキュリティを確保すること(完全性及び機密性の原則

2.個人情報の「移転」について

EEA域外にデータを「移転」するためには、下記いずれかの条件に適合している必要があります。

1.GDPR相当の十分な保護措置が行われていると欧州委員会から保証されている国にデータの移転を行う場合(日本は非該当)。
2.契約による枠組みにより、移転先でデータに対する適切な保護措置の履行、および、個人データに紐づく個人の権利が保証されている場合。
3.その他個人データに紐づく個人からの明示的な同意がある場合など、特別な例外。

GDPRで定められた罰則

該当組織を主管する「主たる監督機関」が調査、警告、制裁金賦課などの権限を持ちます。

制裁金は最大で、2,000万ユーロ(約27億円)あるいは世界売り上げの4%相当の、いずれか高い金額を賦課できると定められています。

企業にとっては大きな経営リスクとなりますので、常に最新の情報を入手し、GDPRのルールを満たしているか確認するようにしましょう。

 

参考資料

■一般財団法人 日本情報経済社会推進協会(JIPDEC)
「個人データの取り扱いに係る自然人の保護及びデータの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」 (参照 2018-7-23)

■日本貿易振興機構(JETRO)
「「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」(参照 2018-7-23) 
「「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)」(参照 2018-7-23)