企業法務弁護士ナビ ログイン
パスワードを忘れた方はこちら
ホーム > 国際取引 > GDPRの対策とは|対策時のポイントや企業が取るべき対応を解説

GDPRの対策とは|対策時のポイントや企業が取るべき対応を解説

専門家監修記事
GDPR(EU一般データ保護規則)は、個人データの取扱いについて定めたEUの法律で、2018年5月に施行されました。ヨーロッパ諸国との取引がある日本企業はGDPR対策を進めておく必要があるでしょう。この記事ではGDPRの対策や対策時のポイントなどを解説します。
弁護士法人プラム綜合法律事務所
梅澤 康二
監修記事
国際取引

GDPR(General Data Protection Regulation:EU一般データ保護規則)は、個人データの取扱いについて定めたEUの法律で、2018年5月より施行開始しました。

 

GDPRで定義されている個人データには、氏名やメールアドレス、IPアドレスやCookieなどが該当します。規定に違反した場合には、巨額の制裁金が科される可能性があります。

 

GDPRは、通称『ヨーロッパ版個人情報保護法』とも呼ばれますが、EEA(欧州経済領域)内に営業所を設けていない企業であっても、EEA内に商品やサービスを提供していれば、規制対象となり得ます。 そのため、ヨーロッパ諸国との取引がある日本企業は、GDPR対策を進めておく必要があるでしょう。

 

この記事では、GDPRの対策や対策時のポイントなどを解説します。

【アンケートに答えて無料モニター応募!】2022年4月施行のパワハラ防止法についてのアンケートにご回答いただいた企業様へ、抽選で「パワハラ防止法対策ツール(当社新サービス)」の無料モニターへご案内させていただきます。アンケートはこちら

GDPRの対策

この項目では、GDPRの対策について解説します。

下準備

まずは、GDPRがどんな法律かを十分に理解しておく必要があります。全社的に対策を進める場合は、『GDPRはどのような意味をもつ法律なのか』『該当する要件はどれなのか』などについて、社内研修を実施するなどして、情報を共有するのが望ましいでしょう。

目的 「EUデータ保護法の範囲拡大」「企業の説明責任義務」「統一性の増大」「個人の権利強化」「制裁と執行」の4つを主な目的とした法律。EEA(欧州経済地域)内で集められた個人情報について、処理・移転する際の条件を定めている。
対象となる個人情報 氏名・位置データ・パスポート番号・IPアドレス・Cookieといった、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する情報。
対象企業 EEA内に子会社や営業所などの拠点を設けている企業や、EEA内に商品・サービスを提供している企業。

『GDPRの法律内容』については、以下の記事で解説しています。

関連記事:GDPRの悩みは弁護士に相談|規制対象となる日本企業や対応方法などを解説

現状把握

次に、社内で取り扱っている個人データの現状を把握する必要があります。把握するべき事項として、主に以下の4点が挙げられます。

  • 個人データの保存場所
  • 個人データの使用目的
  • 個人データの入手経路と入手方法
  • 個人データの種類(どのような内容の個人データであるのか)

この他、データファイルにアクセスした日時や人物など、『履歴管理』に関する調査なども行うべきでしょう。

自社規定の作成

現状把握が完了した後は、GDPRに関する自社規定を作成しましょう。 主に以下の事項について記載するのが一般的ですが、『IBMのGDPR自社規定』など、他社の作成例を参考にしてもよいでしょう。

  • データ
  • クラウド
  • ガバナンス
  • セキュリティ
  • プロセス、コミュニケーション

社内体制の整備

具体的なGDPR対策として、個人データの取扱いフローの整備や、プライバシーポリシーの対応といった社内体制の整備が挙げられます。

 

さらに、組織内に責任者を設置することで、スムーズな業務進行も期待できます。特別な事情がなければ、DPO(データ保護責任者)を設置するべきでしょう。

 

なお、『現在、個人データの取得を行うサービスを提供している企業』については、個人データの取得・利用についての同意を得るフローへ移行する必要があります。

セキュリティの強化

体制の整備に加えて、技術面からも個人データの保護を行う必要があります。

 

セキュリティの強化については、サービスやソフトの導入などが効果的です。 例として、リアルタイムで問題を検出する『SIEM(Security Information Event Management)』や、ユーザーによるクラウド利用状況の把握や管理を行う『CASB(Cloud Access Security Brokers)』マルウェア対策製品や暗号化ソフトなどが挙げられます。

インシデントフローの構築

GDPRでは、個人データに関する問題が発生した場合について、監督機関へ72時間以内に報告するよう定めています。72時間を過ぎて報告した場合は、罰則が科せられます(GDPR第33条)。

 

そのため、企業は『トラブルの速やかな発見』のための社内体制を構築しておくとよいでしょう。 なお、トラブル発生時の報告先については、『Data Protection Authorities|EU』より確認できます。

GDPR対策を行う上で抑えておくべきポイント

この項目では、GDPR対策を行う上で、企業が特に知っておくべきポイントを解説します。

罰則|制裁金額の把握

GDPRの罰則には、制裁金制度が採用されています。 制裁金には2通りの上限金額が設けられており、場合によっては約26億円の制裁金が科される可能性があります。罰則の適用によって大きな損失を被ることがあるかもしれません。

 

『1000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の2%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする』

4.Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 10000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial
year, whichever is higher:

引用元:GDPR第83条|個人情報保護委員会
『2000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする』

Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial
year, whichever is higher:

引用元:GDPR第83条|個人情報保護委員会

対象となるデータ範囲

個人データは、事前に個人から同意を得ることで収集・使用が可能となります。 その際、GDPRの保護対象となる『個人データ』については、氏名やメールアドレスだけでなく、IPアドレスやCookie、信仰している宗教といった、それだけでは個人の特定には至らない情報なども含まれます

 

(1)‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological,genetic,mental, economic, cultural or social identity of that natural person;

(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照するこ とによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示 す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

引用元:GDPR第4条|個人情報保護委員会

尊重するべき個人の権利

個人データの主権は、企業ではなく個人が保有しています。 したがって、個人データを収集・使用する場合は、個人の権利について尊重する必要があります

 

尊重するべき権利としては、個人データの削除を要求する権利『消去の権利(GDPR第17条)』や、個人データにアクセスし、それを訂正したりコピーしたりする権利『データ主体によるアクセスの権利(GDPR第15条)』などが挙げられます。

GDPRについて弁護士に相談するメリット

企業によって、GDPR対策をどこまで講じるべきか、特に何に配慮すべきかなどは異なるでしょう。 少しでも不安がある場合は、弁護士に相談することをおすすめします。弁護士に相談することで、各手続きに関するリーガルチェックや、規定作成時のサポートなども望めます。

 

ただしGDPRは、施行されて間もない上に、EUの法律であるため、対応できる事務所が極めて少ないのが現状です。外資系の法律事務所や、現地の法律事務所と繋がりのある大手法律事務所などに相談するとよいでしょう。

【関連記事】GDPRの悩みは弁護士に相談|規制対象となる日本企業や対応方法などを解説

まとめ

GDPRは、個人データの取扱いについて定めたEUの法律ですが、日本企業も規制対象となります。 違反した場合は巨額の制裁金が科せられる可能性もあるので、対象となる企業はきちんと対策を講じておきましょう。

 

GDPR対策としては、『現状把握』『社内体制の整備』『セキュリティの強化』『インシデントフローの構築』などが挙げられますが、企業によっては、取るべき対策が異なることも考えられます。

 

「どのような対策を取るべきか判断が難しい」「不備なく対策を講じられているか分からない」といった場合は、弁護士に相談することで、より適切なGDPR対策が期待できます。

参照元一覧
GDPR条文|個人情報保護委員会
Area search title icon 国際取引が得意な弁護士を都道府県から探す
ページトップ