GDPR対応のデッドライン迫る、日本企業がすべきことは何か：待ったなし！ GDPR対策（1/3 ページ）

2018年5月25日に施行されるGRPR。99条にも上る条文をこれから全て解釈するのはハードルが高い。GDPRの概要把握のためのポイントを紹介しよう。

[土肥正弘，ドキュメント工房]

　2018年5月25日に施行される「GDPR（General Data Protection Regulation：一般データ保護規則）」は、EU域内の個人データを取り扱う全企業を対象とした、厳格な個人データ保護制度。違反企業には時に莫大な制裁金が課されることから、EU域内でビジネスを展開する日本企業の個人データ取り扱い体制と方法を、同法に準拠させることが早急に求められている。本稿では、日本企業の同法対応にあたり基礎的なガイドとなるよう、同法の概要、組織とルール整備、安全管理方法、個人データ国際移転時の注意点を4回連載でまとめていく。

GDPRの理念と意義

　EU基本権憲章（2000年広布）には「全ての者が自己に関係する個人データの保護に対する権利を有する」との規定がある。憲法と同様の基本的な思想に個人データ保護を盛り込む強固な人権意識の中で1995年に欧州議会が採択した「EUデータ保護指令」が、その後のEU加盟国の国内法の前提になり、国ごとに個人データ保護制度が整備されてきた。

　しかしビジネスの効率面から各国の法制度が異なることが問題視され、EU域内の個人データ取り扱いを統一的に規制できる「規則」が必要だとして、「指令」をアップデートして一部さらに厳格化し、制裁金も規定した「GDPR」が作成され、2016 年5月24日に発効、2018年5月25日に運用開始（施行）される運びとなる。

　GDPRには日本企業にとって2つの意味がある。1つは当然ながら欧州でのビジネス展開を図る全ての企業に新しい規制の網がかかるため、規則準拠を急がなければならないこと。もう1つは、世界最高水準の個人データ保護制度を手本として参照、自社の個人データ保護施策に反映し、顧客やパートナー企業に安心・安全と評価される企業ブランドをつくれることだ。日本の個人情報保護法に準拠した個人データ保護体制とルールを整備している企業は多いが、さらに高度な個人データ保護を実施するのに役立つ基準となるだろう。

　GDPRは全体で1〜11章の合計99条から成るが、日本企業では1〜5章にあたる第50条までを参照し、対応を図れば大体十分だ。その中の幾つかの特定条項の規定に違反すると制裁が課されることになる。

　その背景には国境を超えて提供されるグローバルなIT事業者がEU加盟国内に拠点を持たずに（つまり課税されることなく）サービス展開することへのけん制の意味もあると考えられる。主要なターゲットはグローバルITサービスベンダーであり、日本企業の個人データ管理体制やシステムのありようまで常に監査されることは現実的には考えにくいとの見方もできよう。

　しかし、EU域内に居住する人のデータ漏えいなどのインシデントが発生した場合には、インシデント対応や事態収拾のためのコストとは別に、GDPRに規定された管理者または処理者の責務が果たされていないとして制裁が課されることはほぼ確実と予想される。従って、EU域内で活動する日本企業、あるいはEU域内に住む人の個人データを何らかの形で入手、処理する企業は、GDPRにのっとった個人データ保護施策を早急に実行する必要がある。

コラム：「個人データ」を「処理」するってどういうこと？

　GDPRでは「個人データ」を「識別された、または識別され得る自然人（法人でないデータ主体である人のこと）に関するす全ての情報」としている。これには氏名、識別番号、住所、メールアドレス、オンライン識別子（IPアドレス、クッキー識別子）、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因の全部が含まれると考えられる。

　その個人データの「処理」とは「個人データ、またはその集合に対するあらゆる単一の作業、または一連の作業」とされている。例えばクレジットカード情報の保存、メールアドレスの収集、顧客の連絡先詳細の変更、顧客の氏名の開示、上司の従業員業務評価の閲覧、データ主体のオンライン識別子の削除、全従業員の氏名や社内での職務、事業所の住所・写真を含むリストの作成などが含まれる。（参考：2016年JETRO「『EU一般データ保護規則（GDPR）』に関わる実務ハンドブック（入門編）」）