日本企業に求められるGDPR対策
1.はじめに
2018年6月末、欧州のホテル予約サイトで不正アクセス事件が起き、同サイトに業務委託していた日本のホテル宿泊者の個人情報が漏洩したことが発覚しました。これは、今年5月に日本でGDPR(EU一般データ保護規則)が施行されて以来日本国内で初めてGDPR違反となる可能性のある事件です。今後も同様の問題が起こる可能性があり、日本企業は早急な対応を求められています。
2.GDPRとは
(1)GDPRの適用対象となる企業
GDPRとは、EU一般データ保護規則(General Data Protection Regulation)の略称であり、個人データの処理と移転、基本的権利の保護などを定めた規則(EU加盟各国に適用される法令)です。GDPRは2016年4月14日にEU議会で承認・採択され、2018年5月から日本でも施行されました。
GDPRは、①EUに子会社、支店、営業所を有している企業、②日本からEUに商品やサービスを影響している企業、③EUから個人データの処理について委託を受けている企業に適用されます。
①については、当該企業の本社が日本にある場合でも、管理者としてGDPRへの対応が必要です。また、②については、EU域内に子会社等がない場合でもGDPRへの対応が必要です。そして、③については、EU域内の企業から個人データの処理等を受託している日本企業の場合、当該企業は処理者としてGDPRに定められるルールに従う必要があります。
(2)GDPRの対象となる個人データ
GDPRの対象となる個人データは、氏名、住所、メールアドレス、IPアドレス、Cookie、SNSへの書き込みや医療情報といったあらゆる個人情報とされています。
(3)GDPRにより求められる対応
仮に個人データの漏洩が起こった場合、GDPRはその事業規模や本社が所在する国・地域を問わず、EEA(欧州経済領域)域内の個人情報を処理するほぼすべての組織にも域外適用されます。そのため、日本企業にもGDPRが適用され、最高で世界売上高の4%か2000万ユーロ(約26億円)のいずれか高い方の罰金が課される可能性があります。GDPRでは、企業は個人データの処理・保管にあたって、適切な安全管理を行う必要があり、データ漏洩が発生した場合には、72時間以内に監督機関に対し通知をしなければなりません。また、データの処理を行う目的のために必要な期間を超えて個人データを保持することはできず、大量の個人データを扱う企業などでは、データ保護最高責任者の任命が必要となります。
3.コメント
法務部としては、企業に自社でどのような個人データを扱い、どのような経路で流通しているのかを調査させる等して、まずは企業が自社で扱う個人データを把握するよう働きかけることが望ましいでしょう。その上で、法務部が主導となり、企業にGDPRにより対応が求められる個人データ保護の管理体制の構築を指導し、データ処理の委託先等関係者への周知を呼びかける必要があります。また、適切な運用がなされているかを法務部が見直しをする、あるいは企業に見直しをするよう法務部が指導するなども、法務部の対応としては望ましいでしょう。
このニュースに関連するセミナー
法務ニュース 海外法務 個人情報保護法
グローバルに展開する大規模法律事務所であるクリフォードチャンス法律事務所において、国際的な企業法務を取り扱い、国内外の企業に法的助言を行う。その間に、国内大手商社法務部への出向やワシントンD.C.での勤務も経験。現在は、オリンピア法律事務所のパートナーとして、主に中部圏の企業の国際取引・海外進出をサポートしている。
略歴:
早稲田大学法学部・法科大学院卒業、
コロンビア大学ロースクール(LLM)卒業
2009年12月 弁護士登録
2010年1月~2018年4月
クリフォードチャンス法律事務所 外国法共同事業
2012年6月~2014年2月 三井物産株式会社 法務部(出向)
2015年9月~2016年7月
クリフォードチャンス・ワシントンD.C.オフィス(出向)
2016年5月 ニューヨーク州弁護士登録
2018年5月~ オリンピア法律事務所 パートナー
今回のセミナー内容は、「国際取引契約の実務入門~英文契約を取り扱う際に最低限知っておくべきこと~」です。
略歴:
愛知県春日井市出身
愛知県立旭丘高校卒業
2004年 京都大学法学部卒業
2005年 弁護士登録(58期 第二東京弁護士会)
クリフォードチャンス法律事務所外国法共同事業入所
2008年 フランス系ラグジュアリーブランド日本支社(出向)
2010年 アメリカ、Duke University School of Law(法学部)LLM卒業
2010年 クリフォードチャンス香港オフィス(出向)
2011年 日系の大手財閥系総合商社のイギリス子会社の法務部(出向)
2013年 ニューヨーク州弁護士登録
2015年 IBS法律事務所開設(愛知県弁護士会に登録換え)
2017年 オリンピア法律事務所 パートナー
■杉谷 聡
略歴:
愛知県一宮市出身
愛知県立一宮高等学校卒業
2016年 一橋大学法学部卒業
2017年 弁護士登録(70期 愛知県弁護士会)
オリンピア法律事務所入所
2005年東京大学法学部第一類卒業
2006年弁護士登録(第一東京弁護士会)
2015年バージニア大学ロースクール卒業(LL.M.)
2016年Max Planck Institute for Innovation and Competitionにある
ミュンヘン知的財産法センター修了(LL.M.)、同年Noerr法律事務所ミュンヘンオフィス勤務
2017年米国ニューヨーク州弁護士登録
日本における知的財産法、営業秘密保護、個人情報保護法のほか、
EUにおける知的財産制度・競争法、EUデータ保護規則をはじめとする
グローバルベースでのデータ規制についても詳しい。
主催
レクシスネクシス・ジャパン株式会社/ビジネスロー・ジャーナル
作業の優先順位を明確にして、日本企業がどのようにGDPR対応を行い、今後どのようにGDPRコンプライアンスを維持していくべきかについて解説いたします。
解説に際しては、欧州データ保護評議会(EDPB)が公表・承認しているガイドラインの内容を踏まえることはもちろんのこと、各国の監督当局が公表している情報・オピニオンや、
GDPR施行後の当局の執行状況を含め、現地の最新動向について、お話ししいたします。
また近時、M&Aのデューディリジェンスの過程で買収する会社のGDPRコンプライアンスが問題になることがしばしばありますので、その際のチェックポイントについても触れたいと思います。
東北大学法学部卒業、東京大学法科大学院修了
平成27年改正個人情報保護法の全面施行前後に、
個人情報保護委員会事務局において、
法令関係とデータの利活用関係を担当
近時の著書等には『個人情報管理ハンドブック[第4版]』(商事法務、2018)、
「AIによる個人情報の取扱いの留意点」(Business Law Journal、2018年6月号)、
「ビッグデータ・個人情報の利活用と先端ビジネス」(Business Law Journal、2018年8月号付録〔LAWYERS GUIDE〕)等がある。
主催
レクシスネクシス・ジャパン株式会社/ビジネスロー・ジャーナル
AIを活用する場合、従来人間の脳が行っていた知的な作業をコンピュータに行ってもらうことになるため、従来想定されなかった様々な法的問題点が生じることが想定されます。
特に、機械学習を用いたAIを用いる際には、従来とは異なる方法で大量の情報を集積し又は処理を行うため、個人情報保護法やプライバシー権との関係が問題となりやすいと考えられています。
本セミナーでは、平成27年の個人情報保護法の全面施行前後において、同法を所管する個人情報保護委員会にて法令の担当者を務めた講師により、
AIを活用することを検討している企業の担当者向けに、企業におけるAI活用と個人情報保護・プライバシーの留意点を具体的な事例を基に解説します。
パートナー 日本及びカリフォルニア州弁護士
東京大学法学部卒
1999年弁護士登録(第二東京弁護士会)
カリフォルニア大学デービス校ロースクール修士課程卒(LL.M.)
国内外の販売店契約に関する取扱い案件多数
著作に「販売店契約の実務」(中央経済社・共著・編集担当)
主催
レクシスネクシス・ジャパン株式会社/ビジネスロー・ジャーナル
本セミナーではかかる販売店契約を取り扱いますが、その意義・目的は以下のとおりです。
①実際の事例の紹介を多く行います。よく見かける契約書の条項の一言一句の大切さは、実際に問題が起こってから初めて思い知らされることが多いものです。
実際に起こった問題に触れながら、これまで見過ごしていたかもしれない各条項の重要性について見ていきます。
②販売店契約は、企業間取引で最も頻繁に使われる契約の1つであり、英文契約の入門科目として最適と言えます。
これから英文契約について本格的に学びたいという方にも役立ちます。
(参考資料として、英文販売店契約のひな型をお配りします。)
