日本企業にも対応が求められるGDPR

「ビジネステーマ解説2018」連載第1回 - 旬のビジネステーマについて24回にわたって解説する。初回は、2018年5月に施行されたEUのGDPRが日本企業に与える影響について。

旬のビジネステーマについて24回にわたって解説する。初回は、2018年5月に施行されたEUのGDPRが日本企業に与える影響について。

欧州連合(EU)一般データ保護規則(GDPR)は、今年(2018年)5月末に施行されたEUの新たな個人情報保護法で、インターネット時代の個人の権利が幅広く規定されている。データの消去を求める権利、管理者から自らのデータ全てのコピーを汎用的な形式で入手する権利、企業の保有する個人データによって個人の属性が分析され、個人のサービスレベルなどが自動決定されることを拒否する権利など、が明記されている。

また企業などの個人データ管理者・取扱者に対しても厳格な管理体制の構築や説明責任を要求する条項が多数含まれている。一定の条件に合致する場合、データ保護オフィサー(データ・プロテクション・オフィサー:DPO)の設置が義務付けられ、個人データの取り扱いに係る処理の記録義務も課される。

EUでは、従来から域外国への個人データの移転が原則禁止されている。この対象には、日系企業の日本本社からアジア子会社などへの「再移転」も含まれる。移転が必要な場合には、本人の明確な同意を得ておくか、所定の契約を締結し、移転先に適切な管理義務を課すなど、移転を適法に行うための対応が必要となる。

GDPRでは、罰則金の上限が「世界売上高の4%もしくは2千万ユーロのいずれか高い方」と高額に設定されており、EU域内に拠点を持たない企業であっても、EU域内に所在する個人のデータをビジネスで取り扱うケースなどではGDPRの直接規制対象になりうる点に注意が必要だ。特に、ビジネスをグローバルに展開している企業は、自社グループにおけるGDPRの影響を調査し、早急に必要な管理体制の構築に取り組むことが重要だ。

GDPR遵守のために必要となる対応

GDPR遵守のために必要となる対応

執筆者

KPMGコンサルティング
ディレクター 大洞 健治郎

電波新聞 2018年4月3日掲載(一部加筆・修正しています)。この記事の掲載については、電波新聞社の許諾を得ています。無断での複写・転載は禁じます。

ビジネステーマ解説2018

お問合せ