欧州連合(EU)の個人情報に関する新たな取り決めとして、EU一般データ保護規則(GDPR)が定められました。この規則では、EUの経済領域圏外への個人情報の移動を禁じており、現地に駐在する日本人にも適用が及ぶため注意が必要です。今回はEU一般データ保護規則の目的と、対象となるデータ、人、さらに日本企業がすべき対応について解説します。
目次
EU一般データ保護規則は、EU加盟国及びアイスランド、リヒテンシュタイン、ノルウェーで構成される欧州経済領域(EEA)内における個人データの取り扱いや移転に関するルールを定めたものです。2016年4月に採択され、2018年5月25日から適用が開始しています。EEA内における規則でありますが、EEA内でビジネスを行う日本企業も対象となるため、見逃すことのできない規則です。
近年のクラウドサービスの拡大やAIなどの技術革新によって、グローバルな市場における個人データの活用が進んでいます。しかしそれと同時に、Facebookの情報流出スキャンダルのように、個人データが簡単に第三者に漏れてしまうリスクも高くなっています。このような状況のもとで採択されたEU一般データ保護規則は、情報提供者である個人の権利を保護する観点から、従来のEUデータ保護指令よりも個人データ保護の範囲を拡大し、違反者への制裁も強化しています。
関連記事:
・【平成29年5月30日~】改正個人情報保護法が施行されます―ほぼすべての企業が法の適用対象となります!
・プライバシーポリシーを作成し、個人情報を適切に取扱いましょう!
・マイナンバーの収集や廃棄、きちんと行っていますか?この時期に見直したい、マイナンバー管理について
EEA内に所在する個人の特定が可能となる、あらゆるデータが対象となります。氏名・識別番号・住所・メールアドレスなどが代表的な例として挙げられますが、さらに、個人の身体的、生理学的、遺伝的、文化的、経済的、精神的、社会的アイデンティティを示すデータも含まれます。個人が特定できないよう完全に匿名化されたデータや企業のデータ、死者のデータは対象外です。
注意すべき点として、EEA内に駐在する職員のデータや日本のデータをEEAに送り、そこで処理されたデータを再び日本に送る場合なども対象となることが挙げられます。
規制内容は様々な観点から綿密に定められています。今回は代表的な規制内容を個人データの処理、移転、データ提供者の基本的権利保護の観点からまとめました。EU一般データ保護規制の対象者は、以下の全てを守る必要があります。
以上に示したルールは一部のもので、その他にも様々なルールが定められています。
EEAに子会社を持つ企業や、EEAに商品やサービスを提供しているような企業は、EU一般データ保護規則への対応が求められます。
最も確実な方法は、外部の専門家に委託して企業の管理体制などを整備していくことです。しかし、企業内で対策部門を作って整備することも可能です。その場合、以下の3段階で行うと良いでしょう。
今回はEU一般データ保護規則について説明してきました。ヨーロッパにおいて定められた規則ではありますが、日本でも対象となる企業は多く、しっかり把握しておかなくてはいけないものとなっています。この規則を遵守する形で個人データの保護を行えば、企業としての信頼度が向上するというメリットも見込めます。ぜひ個人データの取り扱いを見直してみてはいかがでしょうか。
This website uses cookies.