日本企業に求められるGDPR対策
2018/07/18 海外法務, 個人情報保護法
1.はじめに
2018年6月末、欧州のホテル予約サイトで不正アクセス事件が起き、同サイトに業務委託していた日本のホテル宿泊者の個人情報が漏洩したことが発覚しました。これは、今年5月に日本でGDPR(EU一般データ保護規則)が施行されて以来日本国内で初めてGDPR違反となる可能性のある事件です。今後も同様の問題が起こる可能性があり、日本企業は早急な対応を求められています。
2.GDPRとは
(1)GDPRの適用対象となる企業
GDPRとは、EU一般データ保護規則(General Data Protection Regulation)の略称であり、個人データの処理と移転、基本的権利の保護などを定めた規則(EU加盟各国に適用される法令)です。GDPRは2016年4月14日にEU議会で承認・採択され、2018年5月から日本でも施行されました。
GDPRは、①EUに子会社、支店、営業所を有している企業、②日本からEUに商品やサービスを影響している企業、③EUから個人データの処理について委託を受けている企業に適用されます。
①については、当該企業の本社が日本にある場合でも、管理者としてGDPRへの対応が必要です。また、②については、EU域内に子会社等がない場合でもGDPRへの対応が必要です。そして、③については、EU域内の企業から個人データの処理等を受託している日本企業の場合、当該企業は処理者としてGDPRに定められるルールに従う必要があります。
(2)GDPRの対象となる個人データ
GDPRの対象となる個人データは、氏名、住所、メールアドレス、IPアドレス、Cookie、SNSへの書き込みや医療情報といったあらゆる個人情報とされています。
(3)GDPRにより求められる対応
仮に個人データの漏洩が起こった場合、GDPRはその事業規模や本社が所在する国・地域を問わず、EEA(欧州経済領域)域内の個人情報を処理するほぼすべての組織にも域外適用されます。そのため、日本企業にもGDPRが適用され、最高で世界売上高の4%か2000万ユーロ(約26億円)のいずれか高い方の罰金が課される可能性があります。GDPRでは、企業は個人データの処理・保管にあたって、適切な安全管理を行う必要があり、データ漏洩が発生した場合には、72時間以内に監督機関に対し通知をしなければなりません。また、データの処理を行う目的のために必要な期間を超えて個人データを保持することはできず、大量の個人データを扱う企業などでは、データ保護最高責任者の任命が必要となります。
3.コメント
法務部としては、企業に自社でどのような個人データを扱い、どのような経路で流通しているのかを調査させる等して、まずは企業が自社で扱う個人データを把握するよう働きかけることが望ましいでしょう。その上で、法務部が主導となり、企業にGDPRにより対応が求められる個人データ保護の管理体制の構築を指導し、データ処理の委託先等関係者への周知を呼びかける必要があります。また、適切な運用がなされているかを法務部が見直しをする、あるいは企業に見直しをするよう法務部が指導するなども、法務部の対応としては望ましいでしょう。
関連コンテンツ
新着情報
- 業務効率化
- 鈴与の契約書管理 公式資料ダウンロード
- セミナー
- 登島和弘 氏(新企業法務倶楽部 代表取締役…企業法務歴33年)
- 登島さんとぶっちゃけトーク!法務懇談会 ~第9回~
- NEW
- 2024/04/19
- 19:00~21:00
- 弁護士
- 中野 知美弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- 業務効率化
- Hubble公式資料ダウンロード
- まとめ
- 経済安全保障法務:中国の改正国家秘密保護法の概要2024.3.15
- 2024年2月27日, 中国では国家秘密保護法(原文:中华人民共和国保守国家秘密法)の改正が成...
- 解説動画
- 弦巻 充樹弁護士
- 【無料】M&Aの基礎とリスクヘッジの実務
- 終了
- 視聴時間1時間
- 解説動画
- 江嵜 宗利弁護士
- 【無料】今更聞けない!? 改正電気通信事業法とウェブサービス
- 視聴時間53分
- ニュース
- 日本レコード協会が違法アップローダーと合意、発信者情報開示制度について2024.3.27
- NEW
- 日本レコード協会はファイル共有ソフトを使って大量の音楽ファイルを違法にアップロードしていたユ...
- 弁護士
- 前田 敏洋弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号