検索
特集/連載

いまさら聞けない「GDPR」(一般データ保護規則)の真実 “罰金2000万ユーロ”の条件は?今からでも間に合う「GDPR」対策【第1回】(1/4 ページ)

EUで2018年5月に適用開始となる「GDPR」が、国内企業にとっても無視できないのはなぜなのか。具体的に国内企業にどのような影響があるのか。誕生までの歴史を含めて、あらためて整理します。

[手柴雄矢,デロイト トーマツ サイバーセキュリティ先端研究所] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

情報漏えい対策 | コンプライアンス | 情報漏えい | プライバシー | 個人情報保護


 近年、プライバシー保護の分野において注目度が高まっているキーワードに欧州連合(EU)の一般データ保護規則、いわゆる「GDPR」(General Data Protection Regulation、以下GDPR)があります。これはEUにおけるプライバシー保護を強化する法令です。施行の期日が近づいてきたことから、ニュース記事や解説記事でGDPRという単語を目にする機会が増え、グローバルに事業を展開する企業の法務やリスク管理担当部門の方々の関心と危機感が高まっています。一方でGDPRとはそもそも何なのか、肝心な中身について十分に把握できている人は、それほど多くないのが現状です。

GDPRの成立の背景と歴史

 GDPRは、2016年4月27日にEU議会およびEU理事会によって新たに採択され、その後約2年の期間を経て2018年5月25日に適用が開始される予定です。GDPRが採択された背景には、

  • 欧州に欧州人権条約や経済協力開発機構(OECD)の理事会勧告(いわゆるプライバシー8原則)など、人々の人権やプライバシーに関わるルールを厳格に運用してきた歴史があること
  • EUの現行法である「データ保護指令」(EU Directive 95/46/EC)の見直しが必要とされていたこと

などがあります。データ保護指令は1995年から適用されており、既に20年以上が経過しています。そのためグローバル化するビジネスや情報通信技術の発達、ビッグデータ活用の拡大などに対処するために、プライバシー保護のルールを見直す必要がありました(図)。

図
図 EUにおける個人データ保護の歴史(出典:デロイト トーマツ リスクサービスGDPRセミナーの大場敏行氏による講演資料から抜粋・整理)《クリックで拡大》

 GDPRが適用されることになる企業は、2018年5月の適用開始までに必要な準備をする必要があります。執筆時点で既に残りの期間は1年を切っています。筆者がクライアント企業や社内から漏れ聞く限りでは、一部の大手グローバル企業を除き、一定の対応が済んでいる企業は少数だと考えられます。2017年5月に施行された日本のいわゆる改正個人情報保護法への各企業の対応状況に鑑みると、比較的多くの企業が2018年5月ギリギリを目標に、駆け込み対応を進めていくのが実情ではないでしょうか。

企業が留意すべきポイント

 GDPRは11個の章、99個の条文で構成されており、個人データの取り扱いに関わる、さまざまな要件が定められています。それでは、企業はどのようなポイントに留意して準備を進める必要があるのでしょうか。まずはGDPRの全体構成を表1に示します。

表1 GDPRの全体構成(出典: GDPR原文から抜粋、整理)
概要
第1章 第1〜4条 規則の概要を示し、適用範囲や用語定義を規定
第2章 第5〜11条 個人データの処理に関する原則を規定
第3章 第12〜23条 データ主体が有する権利を規定
第4章 第24〜43条 管理者および処理者が負う義務を規定
第5章 第44〜50条 域外移転に関する規制を規定
第6章 第51〜59条 監督機関の設置を規定
第7章 第60〜76条 監督機関の間の連携、対応の一貫性を規定
第8章 第77〜84条 侵害発生時の救済、責任、罰則を規定
第9章 第85〜91条 個人データ保護と表現の自由、情報の自由の関係を規定
第10章 第92〜93条 本規則の施行に関することを規定
第11章 第94〜99条

 上記にはデータ主体や監督機関などに関する規定も多く含まれています。企業の目線でGDPRを見た場合の主なポイントを以下に挙げます。本稿では、これらのポイントに沿って解説します。連載第2回以降で、具体的な対応について深掘りしていきます。

  1. 域外適用
    • EU域内に拠点を持たない企業も適用対象となる場合がある
  2. 域外移転
    • 十分性認定を受けていない国、地域への個人データの移転には、適切な保護措置が求められる
  3. 課せられる義務
    • 個人データの安全管理措置、監督機関への通知などにかかわる、さまざまな義務を順守する必要がある
  4. 対象となる個人データ
    • 氏名、住所などに加え、IPアドレスや位置情報なども個人データになる場合がある
  5. 巨額な制裁金
    • 2000万ユーロまたは年間売上高4%のどちらか高い方を上限に、制裁金を科せられる可能性がある

域外適用

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る