GDPR対応のデッドライン迫る、日本企業がすべきことは何か：待ったなし！ GDPR対策（3/3 ページ）

[土肥正弘，ドキュメント工房]

EU域外へのデータ移転制限

　欧州委員会が十分な保護措置を確保していると認める（十分性のある）国以外に個人データを移転させることは、「データ保護指令」のころから原則禁止されている。日本はその「十分性認定」を受けておらず、EU域内の顧客データや従業員データを日本で保管・処理することができないことになる。しかし現実には現地拠点の人事情報管理や顧客管理・マーケティングなどが行われてきた。それは次の3つの例外が認められているからだ。

• 本人の同意がある場合
• 欧州委員会による標準契約条項（SCC：Standard Contract Clauses）に基づく契約を移転元（管理者／処理者）と移転先（管理者／処理者）との間で交わしている場合
  • これまでも日本企業はほとんどがこの例外規定によってEU域内の人の個人データを取得・処理してきた。
• 企業グループ内で規定を作り、移転元の監督機関の承認を得た「拘束的企業準則（BCR：Binding Corporate Rules）」を適用している場合

　GDPRでもこれら例外が認められており、本人の同意があればどこにでも移転が可能である。とはいえ、B to Cサービスのように全てのユーザーの同意を得ることが困難な場合が多い。そこで企業・団体間でのデータ移転に関しては、移転元と移転先とが一定の保護規定が含まれた契約（SCC）を交わすことで移転可能にしている。今後もこの方法が主流になりそうだ。BCRは手続きが難しいため、これまであまり利用されてこなかったし、今後もそうである可能性が高い。

個人データの削除権

　「忘れられる権利」として話題になった「削除権」は、例えばSNSの運営業者が取得した個人データについて、本人からの要求があれば消去してもらえる権利のことだ。これはGDPRでは管理者の義務として規定された。主に次のような場合にデータを消去しなければならない。

• 個人データ収集や処理目的に関して当該個人データが必要なくなった場合
• 本人が個人データ取り扱いに関する同意を撤回し、取扱いに関して他の法的根拠がない場合
• 本人が不服を申立て、かつ取扱いに関して優先する法的根拠がない場合
• 個人データが不法に取り扱われた場合
• EU法または加盟国の国内法における法的義務の順守のために消去が求められる場合

　ポイントは、本人の同意が得られている場合のみデータの処理が可能であり、処理の必要がなくなったときや、本人が同意を取り消したときには早急に消去しなければならないことだ。これには本人からの申告や不服を受け入れる窓口と消去に対応する体制が必要だ。

個人データのアクセス権、訂正権、ポータビリティなど

　管理者の義務として、個人データ収集の際、本人に一定の情報を提供ししなければならない（情報権）し、本人からの個人データへのアクセス請求に答えなければならない（アクセス権）。また個人データが不正確であれば本人からの訂正要求に答えなければならない（訂正権）。さらに本人が管理者に対して一定の場合に個人データ処理の制限をすることもできる（制限権）。

　加えて「個人情報のポータビリティ」と呼ばれる権利も規定されている。これは本人から要請があれば当人の個人データを一般的に利用可能な形で受け取れるようにすることだ。例えばあるSNSから別のSNSにプロフィール情報などが移行できることになる。

　こうした個人データ主体（本人）の権利に関して日本の個人情報保護法では重視されていない。GDPRの特徴として十分理解しておく必要があるだろう。

　これらのポイントの他、「個人データ取扱いの透明性確保」「安全管理措置」「データ保護影響評価（DPIAs）の実施」「データ保護責任者（DPO）の設置」を規定しているのもGDPRの特徴である。これらについては、次回以降、詳しく見ていくことにする。