GDPR(EU一般データ保護規則)とは?
EU一般データ保護規則(General Data Protection Regulation、以下GDPR)とは、欧州経済領域(EEA)における個人情報の取り扱いについて法的要件を定めた規則です。個人情報とプライバシー保護の強化を目的としています。
■GDPR施行の背景
GDPR施行の前、1995年にEUデータ保護指令が採択されました。
EUデータ保護指令は、EU加盟各国で個人データ保護のための国内法を制定するための“指針”であるため、実際に制定された国内法は国によって内容に差異がありました。 そこで、EU加盟国共通の規則を定めようという機運が高まりGDPRが制定されることになったのです。
EUデータ保護指令は「指令(Directive)」ですが、GDPRは「規則(Regulation)」となり法規則である点が大きく異なります。
■GDPRが日本へ及ぼす影響
EUデータ保護指令では、EU域内の物理的施設(現地法人・支店・サーバーなど)を保有していることが適用要件であったのに対し、GDPRではEU域内に物理的施設を保有しない場合でも適用を受ける場合があります。
GDPR第1章の第3条 地理的適用範囲でも次のとおり定められています。
本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。
すなわち、GDPRでは、EU圏内に所在する組織に加え、EUと取引のある全ての組織が対象となります。
■GDPRの対象企業
次のような企業は、GDPRへの対応が必要です。
- EU圏内に子会社や支店、営業所などを有している企業
- 日本からEU圏内に商品やサービスを提供している企業
- EU圏内から個人データの処理について委託を受けている企業
いずれもごく一般的な日本企業ではないでしょうか。
■GDPR違反における制裁金
GDPRに従わなかった場合、厳しい制裁金が課せられることになります。最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い額が適用されます。
2000万ユーロは2019年11月現在のレートで24億2000万円ほどです。
年間売上高の4%や24億円の制裁金と聞くと「脅しのためにありえない額を提示しているのであろう」と思う方もいるかもしれませんが、すでに莫大な制裁金を科されてしまった企業は複数あります。
英国のデータ保護機関、情報コミッショナーオフィス(Information Commissioner’s Office:ICO)は、英航空大手British Airwaysに対し1億8,300万ポンド(約250億円)の制裁金を科すと発表しました。
2018年9月の大規模な顧客情報流出でGDPRを侵害したとの理由からです。
また、巨大プラットフォームのGoogleも、個人データの収集およびターゲット広告への利用に関する情報をユーザーに適切に開示していなかったという理由で、5000万ユーロ(約62億円)の制裁金を科されています。
違反における制裁金を支払うリスクと事前のセキュリティ対策に予算を投じるかについて企業としての判断が問われます。
GDPRの内容
GDPRの内容を示す3つのキーワードと保護対象について解説します。
■個人データ、処理および移転の3つのキーワード
GDPRは、個人データの「処理」と「移転」に関する法であると考えると理解しやすいでしょう。
GDPRでは、EEA(欧州経済領域, European Economic Area)内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件です。
個人データ、処理および移転の例を示します。
| 概念 | 例 |
|---|---|
| 個人データ |
|
| 処理 |
|
| 移転 |
|
■保護対象となる個人データの範囲
GDPRでは、個人データの保護対象を決定する上で、3つの立場を定義しています。個人データが関連する個人を「データ主体」、その個人データを管理する「管理者」、管理者を代理して個人データの処理を行う「処理者」です。
データ主体、管理者および処理者の例を示します。
| 概念 | 例 |
|---|---|
| データ主体 | ABC社は自社従業員の個人データを処理している。この個人データが関連するABC社の従業員個人がデータ主体である。 |
| 管理者 | ABC社は自社従業員の個人データを処理している。雇用者としての業務を遂行するために処理をおこなっているため、管理者に相当する。 |
| 処理者 | ABC社は他社のマーケティングツールの管理のため、個人データの処理を専門業としている。この機能においてABC社は処理者であり、管理者を代理して処理を行う。 |
出典:「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)/日本貿易振興機構(ジェトロ)JETRO ■日本とEU間での十分性認定
十分性認定とは “個人データを移転できるだけの十分なデータ保護の水準を持つ“ことを認めることです。
2019年1月欧州連合は、GDPRの日本に対する十分性認定を決定しました。
EU圏内から日本への個人データの移転を行う場合に必要だった、後述する拘束的企業準則(BCR)の採択や標準契約条項(SCC)の締結が原則として不要になったのです。これによりEU圏と日本間で、個人データをよりシンプルかつスムーズに移転できるようになりました。
十分性認定が決定されるまでは、次のような対応が求められていました。
- BCR(Binding Corporate Rules:拘束的企業準則)の締結
- SCC(Standard Contractual Clauses:標準契約条項)の締結
- 明確な本人同意
なお、十分性認定は個人データの域外移転のみに関わるものであり、GDPRに定めるその他の要件の遵守が必要であることには変わりがない点に注意が必要です。
十分性認定について詳しくは GDPR対策をDIYするブログも合わせてご参照ください。
グローバルと日本での個人データ保護の状況
EU圏外の各国にも影響の大きいGDPRですが、グローバルおよび日本における個人データ保護に関する規制の動向について説明します。
■日本におけるGDPR対応の現状
一般財団法人日本情報経済社会推進協会(JIPDEC)が2019年7月31日公開した「 企業IT利活用動向調査2019」集計結果(詳細版)によると、「GDPRに則り個人情報の移転を行っている」企業はわずか34.4%。
「GDPRは知っているが未対応」と「GDPRは特に気にせず個人情報の移転を行っている」の合計で33.3%となっており、日本国内ではGDPRへの対応が遅れている実態が明らかになっています。
GDPRへの対応が完了していない原因として、GDPRは日本の改正個人情報保護法と比較してもかなり厳しい内容である点が挙げられます。
例えば個人データの定義は、改正個人情報保護法では「原則氏名が含まれていないものは対象外」ですが、GDPRでは「Cookie、ビデオ映像など無記名の個人の履歴データも個人情報」と定義するなど、実対応を困難にする条件が示されています。
日本におけるGDPR対応の現状について詳しくはGDPR対策をDIYするブログも合わせてご参照ください。
■その他の個人データ保護法とグローバルの動向
ビッグデータやAI、人工知能などの技術が発展する中、個人データ保護に関するグローバルでの取り組みは積極的に刷新される動きが進むと考えられます。EU圏外の各国・地域でも次のような取り組みが行われています。
| 国・地域 | 規則名 |
|---|---|
| EU | GDPR(EU一般保護データ規則) |
| 日本 | 改正個人情報保護法 |
| 中国 | 中国サイバーセキュリティ法 |
| ロシア | 個人データに関する連邦法 |
| シンガポール | 個人情報保護法 |
| APEC | CBPR(逆境プライバシールール) |
GDPRはグローバルに先駆けてEUから発信されたものですが、ゾーホージャパンでは、今後、同様の考え方を採用した規制が国際的に広がると予測しています。
GDPRの要求事項を確実に満たすには
GDPR第2節 個人データの安全性の第32条 取扱いの安全性では、組織的および技術的に適切に個人データ保護を行うことが求められています。
■データ保護責任者(Data Protection Officer, DPO)の設置
GDPRへ対応する場合の大きな要件の一つが、データ保護責任者(Data Protection Officer、以下「DPO」)を設置することです。
データ保護責任者DPOとは?
データ管理者またはデータ処理者に指名が義務付けられる専門職であり、独立した立場で経営陣へ意見するなどの権限があります。
データ保護責任者DPOを指名する目的
GDPRがDPOの設置を要求している目的は、通常時のGDPRの運用およびデータ漏えいなど有事対応について、責任者を明らかにして説明責任を強化することです。
データ保護責任者DPOの責務
DPOが担うべき役割には次のようなものがあります。
- 個人データを取り扱う従業員等へGDPR等による義務の通知
- GDPR等に関する組織方針の遵守状況のモニタリングの実施
- 個人データを取り扱う従業員への訓練や監査等の実施
- データ保護影響評価(DPIA:Data Protection Impact Assessment)の実施に関する助言と実施状況のモニタリング
- 取り扱いに関する問題について監督機関との窓口を担うこと
このように、現実問題としてこれらすべての要件を満たすような人材は見つからない場合も多いでしょう。その場合は、社外の専用サービスを利用することも可能です。
■プライバシーポリシーの作成
GDPRではプライバシーポリシーの作成が要求されています。個人データの処理について、目的や処理内容を伝え、データ主体の権利を遵守するためです。
プライバシーポリシーに含めるべき事項は次のとおりです
- 取得する個人データ情報
- 個人データの取得目的
- 個人データの保存期間
- 個人データの利用方法
- 第三者(処理者)による開示・提供・共有
- セキュリティ施策
- クッキー等の取扱い
- ポリシーの変更手続き・連絡
- 個人情報の開示、訂正、削除、追加、利用停止、消去
- 他のウェブサイトへのリンク
- 他地域へのデータ転送
- 連絡窓口
- 制定、改訂日
プライバシーポリシーの作成後は、外部への告知を行うためにもWebサイトへ掲載しておくべきでしょう。
■Cookieポリシーの作成
GDPRではWebサイトでのCookieも個人データであると定義されています。EEA地域向けのWebサイトがある企業は、Cookieを取得することについて同意を得る必要があります。
GDPR に対応するためには、Webサイト閲覧者からCookie取得の同意を得る仕組みを構築することが必要となります。
当ウェブサイトは、パーソナライズされたブラウズ体験およびWebサイト閲覧に必要な機能の向上のため、Cookieを使用しています。
弊社のCookie利用はプライバシーポリシーに記載されているとおりです。Cookieの使用に同意しますか。
[同意する]
Cookieポリシーを作成し、このような仕組みで同意を得る仕組みを採用した大手企業のサイトも多くなっています。
DPOの設置、プライバシーポリシーの作成およびCookieポリシーの作成について詳しくは、 GDPR対策をDIYするブログも合わせてご参照ください。
■個人データの保護において求められる「IT対策」
GDPR第32条1項でIT対策として求められる事項としては、次の4つが挙げられています。
- 1.個人データの仮名化及び暗号化
- 2.現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力
- 3.物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力
- 4.取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス
また第33条では、個人データ保護違反時には72時間以内にデータ保護監督機関に通知することが義務付けられています。
GDPRにおけるIT対策について、詳しくはGDPR対策をDIYするブログも合わせてご参照ください。
GDPRに有効なIT対策ツール「ManageEngine」
GDPRの要件は長文であり難解です。この規則全体に対応できる単一ソリューションは存在しませんが、適切なITツールを組み合わせることによりGDPRの準拠要件の多くに対応できます。
ManageEngine製品では、GDPRの条項にて提示されている次の要件に準拠できます。
- 注1:※の記載がある製品は、ゾーホージャパンにて日本語によるサポートサービスを提供していない製品および機能です。英語でのサポートサービス提供となります。
- 注2:原文はこちらをご参照ください。EU法データベース
準拠している製品の詳細については、以下各条項をクリックしてください。
免責条項: GDPRを完全に遵守するには、多種多様なソリューション、プロセス、人材、技術が必要です。上記の解決策は、IT運用管理ツールがGDPRの要件の一部を支援できる方法を示したものです。
ManageEngineのソリューションは、他の適切なソリューション、プロセス、および人材とともに、GDPRのコンプライアンスを達成し継続的な準拠に役立ちます。この資料は情報提供のみを目的として提供されており、GDPRの遵守に関する法的助言ではありません。
ManageEngineは、この資料の情報に関して明示的、黙示的、または法的な保証は一切致しません。
