2017年11月28日 05時00分 公開
特集/連載

「GDPR」条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは?今からでも間に合う「GDPR」対策【第2回】(1/2 ページ)

EU一般データ保護規則「GDPR」の適用対象となるのは、どのような企業なのか。場合によっては2000万ユーロにもなる制裁金を科されないようにするには、何をすべきなのか。条文の内容を基に確認します。

[持田広志,デロイト トーマツ サイバーセキュリティ先端研究所]

 前回「いまさら聞けない『GDPR』(一般データ保護規則)の真実 “罰金2000万ユーロ”の条件は?」は、欧州連合(EU)の一般データ保護規則、いわゆる「GDPR」(General Data Protection Regulation、以下GDPR)とは何かについて論じてきました。第2回となる今回は、GDPR適用の範囲と、GDPRで制裁金を科されないために必要な対策を考えていきます。

GDPR適用の範囲

 GDPRの適用となるのは、どのような事業者でしょうか。GDPRは、個人データの処理行為の種類を基に、適用対象になるかどうかを規定しています。GDPR第3条第1項は、適用対象となる行為として「EU域内の事業所での活動に関連してなされる個人データの処理(the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union)」を挙げています(丸かっこ内の英文はGDPR原文の引用、以下同じ)。日本法人から見ると、EU域内に設立した子会社など現地拠点での個人データの処理が該当します。

 EUに拠点がない事業者でも、EU在住の個人データを処理する場合にGDPR適用となる場合があります。GDPR第3条第2項(a)は「EU在住のデータ主体に対する商品またはサービスの提供(the offering of goods or services,<中略> to such data subjects in the Union)に関連した個人データの処理」をGDPR適用対象の行為として挙げています。これは日本法人からEU在住の人に対して、インターネット経由で商品の通信販売をしたり、サービスを提供したりしている場合が該当します。

 ここでいう商品、サービスに関しては、対価の有無を問わないことになっています(irrespective of whether a payment of the data subject is required)。そのため無料のインターネットサービスを提供している場合でも、GDPR適用の対象となる可能性があります。さらに同項(b)によると、商品/サービスの提供の有無にかかわらず「EU域内で行われるデータ主体の行動の監視(the monitoring of their behaviour as far as their behaviour takes place within the Union)に関連した個人データの処理」もGDPR適用対象になると定めていることに注意が必要です。

GDPRの制裁金

 自社がGDPRの適用対象になるとして、制裁金を科されないためには何をしたらよいのでしょうか。まず必要な対策について洗い出すことから始めます。条文上、管理者と処理者に制裁金が科される条項を確認すると、第83条(制裁金の一般条件:General conditions for imposing administrative fines)に記載があります。この内容をまとめたものが、以下の表です。

       1|2 次のページへ

ITmedia マーケティング新着記事

news134.jpg

B2BサービスサイトにおけるCVの58%はトップページからの直行――WACUL調査
CV(コンバージョン)を目的としたWebサイトの改善に必要な施策とは何か。4つのデータに...

news131.jpg

星野リゾートの「市場との対話の仕組み」とは?
新型コロナウイルス感染症(COVID-19)拡大という大ピンチに観光・宿泊業が生き残る鍵と...

news155.jpg

2020年上期インターネット広告市場動向と下期業種別出稿動向予測――サイバー・コミュニケーションズ調査
国内のデジタルマーケティング業界の関係者を対象にした、新型コロナ禍におけるインター...