GDPRが規定する新たな個人データ保護規制とは
「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第1回 - GDPRが規定する新たな個人データ保護規制について解説する。
GDPRが規定する新たな個人データ保護規制について解説する。
個人データ管理体制の見直し
2018年5月25日に欧州で「一般データ保護規則(GDPR)」が施行され、多くのグローバル企業は個人データ管理体制の見直しを迫られている。GDPRはデジタル社会における個人データ保護ルールを先進的に規定するもので、今後、世界各国の規制当局もこれに追随する可能性がある。
GDPRはEU法であるが、EEA(欧州経済領域)の31ヵ国に所在する個人のデータを取り扱う場合、欧州に拠点を持たない日本企業であっても適用を受けることがある。インターネットですべてがつながる現代において、海外の拠点や設備を使用すれば規制の対象にならないといった法令では実効性が薄れてしまうため、GDPRに限らずこのような「域外適用」を宣言する法令は増えてきている。
GDPRは罰則の厳しさでも注目され、法令違反があった場合には、前年度世界売上高の4%または2000万ユーロ(約26億円)を上限として罰則金を科すことができるものとなっている。
GDPRの幅広い規定
GDPRの特徴の1つは、デジタル社会における個人データの取扱いに関し、本人によるコントロール権を幅広く規定していることだ。
例えば、自らのデータを事業者から受け取ったり、移送を指定したりできるデータポータビリティの権利や、プロファイリング(個人データによる当人の属性や傾向の推定)に基づく自動意思決定を拒否する権利などがその一例である。GDPRでは、自らの個人データの取扱いに関して過去に行った同意はいつでも撤回可能であり、データの誤りがなくとも、削除を求めることができると規定されている。
一方で、個人データを取り扱う事業者に対しては、データの厳格な管理とアカウンタビリティーを強く求める内容となっている。
例えば、個人データの取扱いについて記録を作成することが義務付けられており、特にリスクの高い取扱いについては、事前にその影響評価を実施しなければならない。また、同意取得に関する証明責任など、事業者は自らの法令順守状況を説明可能にすることが求められる。万一漏えいなどのデータ侵害が発生した場合には、監督当局へ72時間以内に報告する義務の定めなどもある。
GDPR対応に苦慮
上記以外にも、GDPRにはさまざまな要求事項が定められており、各事業者はそれぞれの要求事項を満たせるように管理体制を見直さなければならない。しかし、要求事項は多岐にわたっており、対応に苦慮している事業者も少なくないだろう。
この連載では、GDPR施行後のデジタル社会で必要となる個人データ管理の仕組みについて、今後数回にわたりトピックごとに解説する。
GDPRの主要要求事項
| 事業者に対する主な要求事項 | 主な関連条項 |
|---|---|
| データ主体への適切な情報提供 | 第13,14条 |
| 同意取得など取扱いの法的根拠の確保 | 第6条 |
| データ主体の権利に基づく各種要求への対応 | 第15~22条 |
| データ保護のための組織的・技術的対策の実施 | 第24~32条 |
| 欧州に拠点のない管理者・処理者の代理人の設置 | 第27条 |
| 取扱い活動の記録の作成・維持 | 第30条 |
| データ侵害発生時における当局通知、データ主体への説明 | 第33,34条 |
| データ保護影響評価の実施及び当局との協議 | 第35,36条 |
| データ保護オフィサーの任命、代理人の設置 | 第37~39条 |
| データの国際移転に関する保護措置 | 第44~49条 |
執筆者
KPMGコンサルティング
パートナー 大洞 健治郎
日刊工業新聞 2018年10月24日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。