日本企業に求められるGDPR対策
2018/07/18   海外法務, 個人情報保護法

１．はじめに

　2018年6月末、欧州のホテル予約サイトで不正アクセス事件が起き、同サイトに業務委託していた日本のホテル宿泊者の個人情報が漏洩したことが発覚しました。これは、今年5月に日本でGDPR（EU一般データ保護規則）が施行されて以来日本国内で初めてGDPR違反となる可能性のある事件です。今後も同様の問題が起こる可能性があり、日本企業は早急な対応を求められています。

２．GDPRとは

（１）GDPRの適用対象となる企業
　GDPRとは、EU一般データ保護規則(General Data Protection Regulation)の略称であり、個人データの処理と移転、基本的権利の保護などを定めた規則(EU加盟各国に適用される法令)です。GDPRは2016年4月14日にEU議会で承認・採択され、2018年5月から日本でも施行されました。
　GDPRは、①EUに子会社、支店、営業所を有している企業、②日本からEUに商品やサービスを影響している企業、③EUから個人データの処理について委託を受けている企業に適用されます。
　①については、当該企業の本社が日本にある場合でも、管理者としてGDPRへの対応が必要です。また、②については、EU域内に子会社等がない場合でもGDPRへの対応が必要です。そして、③については、EU域内の企業から個人データの処理等を受託している日本企業の場合、当該企業は処理者としてGDPRに定められるルールに従う必要があります。
（２）GDPRの対象となる個人データ
　GDPRの対象となる個人データは、氏名、住所、メールアドレス、IPアドレス、Cookie、SNSへの書き込みや医療情報といったあらゆる個人情報とされています。
（３）GDPRにより求められる対応

　仮に個人データの漏洩が起こった場合、GDPRはその事業規模や本社が所在する国・地域を問わず、EEA（欧州経済領域）域内の個人情報を処理するほぼすべての組織にも域外適用されます。そのため、日本企業にもGDPRが適用され、最高で世界売上高の４％か2000万ユーロ（約26億円)のいずれか高い方の罰金が課される可能性があります。GDPRでは、企業は個人データの処理・保管にあたって、適切な安全管理を行う必要があり、データ漏洩が発生した場合には、72時間以内に監督機関に対し通知をしなければなりません。また、データの処理を行う目的のために必要な期間を超えて個人データを保持することはできず、大量の個人データを扱う企業などでは、データ保護最高責任者の任命が必要となります。

３．コメント

　法務部としては、企業に自社でどのような個人データを扱い、どのような経路で流通しているのかを調査させる等して、まずは企業が自社で扱う個人データを把握するよう働きかけることが望ましいでしょう。その上で、法務部が主導となり、企業にGDPRにより対応が求められる個人データ保護の管理体制の構築を指導し、データ処理の委託先等関係者への周知を呼びかける必要があります。また、適切な運用がなされているかを法務部が見直しをする、あるいは企業に見直しをするよう法務部が指導するなども、法務部の対応としては望ましいでしょう。