GDPR対応のデッドライン迫る、日本企業がすべきことは何か：待ったなし！ GDPR対策（2/3 ページ）

[土肥正弘，ドキュメント工房]

規制の対象になるのはどんな企業？

　GDPRは、EU域内に支店や子会社がある日本企業はもちろん、業務遂行ができる事務所をもつ個人も対象にしている。また、「EU在住のデータ主体に対する商品またはサービスの提供に関する取扱い」と「EU域内で行われるデータ主体の行動の監視に関する取扱い」にも適用されることに注意が必要だ。

　つまり、EU域内に拠点がなくとも、EU域内の人に商品やサービスの提供や提案、行動監視を行う場合は対象になるのである。EU域内の言語や通貨を使ったインターネットサービス、消費者行動分析などを行っている企業は対象となる。実質的にはEU域内でビジネスを行うほぼ全ての企業が対象に入ることになる。

GDPRのポイント

　GDPR は、EU域内で個人データを取得、それを処理し、EU域外に移転する際の法的要件を示すものだ。その主なポイントは次の通りである。

高額な制裁金

　規則違反を犯した場合には高額な制裁金（課徴金）が課される。2つのパターンが規定されていて、例えば本人の同意を得ずに取得したデータを処理した場合のように、基本原則に違反した場合は最大2000万ユーロ、または前会計年度の全世界年間売上高の最大4パーセントのいずれか高い方が課される。そうでなくても、規定されている管理者の義務が果たされていないと判断された場合には最大1000万ユーロ、または前会計年度の全世界年間売上高の最大2パーセントのいずれか高い方が課される。

　GDPRは個人データ処理を行う人、法人、団体を「管理者（コントローラー）」と呼び、管理者のために個人データを処理する人、法人、団体を「処理者（プロセッサー）」と呼んでいる。管理者としての企業がデータ処理をパートナー企業（処理者）に委託した場合でも、その双方に規則順守の義務がある。制裁金1000万ユーロといえば約13億円弱。経営基盤が弱い受託企業などでは、場合によって経営に重大影響を及ぼす可能性がある。

権利侵害認識から72時間以内の公開義務

　何らかの個人データの権利侵害（データ漏えいなど）が生じた場合には、管理者がそれを認識してから72時間以内に監督機関に通知する義務も規定された。処理者は侵害に気づいたら不当な遅滞なく管理者に通知する義務がある。通知する内容には最低限、「個人データ侵害の性質、関連する個人データの種類や概数」「情報入手のための連絡先」「個人データ侵害に関する起こり得る結果」「対策」が必要とされている。また、データ主体（個人）への通知に関しては、その人に高度なリスクが生じると見込まれる場合に過度な遅滞なく通知することとされている。

　ちなみに過去の日本での個人情報漏えい事件を見ると、72時間以内に事実が公表されることはまれであり、公表されても一部調査中であって全容が不明であることが多い。この時間内で概要と影響、対策までをまとめるには、事前に組織内に対応体制、役割・責任分担、対応手順が明確にされていなければ困難に違いない。