GDPR（EU一般データ保護規則）で抑えておくべきポイント

はじめに

2018年5月25日に施行された「一般データ保護規則（GDPR）」。グローバルに事業を展開する企業をはじめとして、どの企業もGDPRへの準拠に留意されていることでしょう。

本記事は、GDPRに関する主要なポイントを整理し、どのような点を押さえておけば良いのかをご説明します。

GDPRとは

GDPR （General Data Protection Regulation）とは、欧州議会、欧州理事会および欧州委員会が策定した、個人情報保護の枠組みです。日本語では「EU一般データ保護規則」と呼ばれます。

グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得、分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっていますが、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まっている現状があります。

1995年には、EUデータ保護指令が策定されていましたが、それに代わる、より厳格なものとしてGDPRは発効されました。EU（欧州連合）内のすべての個人（市民と居住者）のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。GDPRは、2012年に立案、2016年4月に採択、2018年5月25日に施行されました。個人データを収集、処理をする事業者に対して、多くの義務が課されています。

また、EUデータ保護指令は各国での法規定は加盟国ごとにバラバラで良い「指令（Directive）」でしたが、GDPRは「規則（Regulation）」ですので、全てのEU加盟国に共通の法規則として適用される点が大きな違いです。

GDPRを理解するうえで押さえるべきポイント

それではGDPRを理解する上で必要になるポイントを一つずつ見ていきましょう。

【対処となるデータ】

個人データ（氏名やクレジットカード番号）。企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外となる。

【適用対象】

EU内に拠点を置く、データ管理者（EU居住者からデータを収集する組織）、または、処理者（データ管理者の委託先としてデータを処理する組織）、または、データの主体（個人）。EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。

【義務内容】

＜個人情報の処理＞

• 処理には、収集／保管／変更／開示／閲覧／削除など、個人データに対して行われるほぼすべての行為が該当する
• 処理対象の個人データおよびその処理過程を特定しなければならない
• 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
• 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
• 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
• 個人データの侵害（情報漏えい）が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
• 定期的に大量の個人データを取扱う組織は、データ保護責任者（Data Protection Officer）や欧州における代理人を任命しなければならない。

＜個人情報の移転＞

• EEA（欧州経済領域）の域内から域外（第三国）への個人データの移転は原則として禁止
• 例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有していると認められていない国への情報移転は、

1. 本人同意を得る
2. 拘束的企業準則（binding corporate rules）を策定する
3. 標準契約条項（SCC：Standard Contractual Clauses）を締結する

のいずれかの要件を満たしに行く必要がある。

【制裁】

上記のGDPRで定められた義務内容に違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロ（1ユーロ125円とすると25億円）のどちらか高い方が制裁金として課される。（「全世界売上高」というのはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることを意味する。）

GDPRの影響を受ける日本の組織

日本においてGDPRの影響を受けるのは以下の3つの企業／団体／機関です。

1. EUに子会社、支店、営業所、駐在員事務所を有している
2. 日本からEUに商品やサービスを提供している
3. EUから個人データの処理について委託を受けている（データセンター事業者やクラウドベンダーなど）

例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。

また、海外に拠点を持っていない場合でも、EU居住者が日本のwebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。

EU域内の個人データを扱う可能性がある場合、経営層や法務部門と連携し、社内ルールの見直しやデータ保護責任者の選任などの管理体制の強化、個人データを処理するシステムに対しての安全対策を行う必要が出てくるでしょう。

GDPRへの対応にあたり、詳細な情報は日本貿易振興機構（ジェトロ）が発行するEU一般データ保護規則（GDPR）に関わる実務ハンドブック（入門編）が参考になります。また、PwC JapanやDeloitteトーマツなどの企業が、GDPRにおける必要な対策の策定、実施の支援、管理態勢とシステムの整備、その後の運用改善を図るサービスを提供しています。社内の各部門だけでなく、外部の専門家の力を使いながら、十分な体制やルールを整えていきましょう。

GDPRに関するアドビの対応

以下は、アドビユーザーに向けて、GDPRにおけるデータ保護状況の遵守および理解を促進するために公開している情報です。

• GDPRラーニングセンター （Adobe Experience Cloud全般）
• Adobe Marketo Engage プライバシー管理

GDPRに関するブログ投稿および記事

以下は、GDPR、プライバシーおよびデータ保護に関連するブログ投稿および記事へのリンク先です。

• GDPR Matchup: South Korea's Personal Information Protection Act
  2018年1月にiapp.orgのThe Privacy Trackerにおいて最初に掲載されました。
• GDPR Matchup: The Philippines' Data Privacy Act and its Implementing Rules and Regulations
  2017年7月にiapp.orgのThe Privacy Trackerにおいて最初に掲載されました。
• GDPR Matchup: The APEC Privacy Framework and Cross-Border Privacy Rules
  2017年5月にiapp.orgのThe Privacy Trackerにおいて最初に掲載されました。
• WHAT WILL COMPLIANCE WITH THE GDPR REALLY LOOK LIKE?
  2018年5月にトムソンロイターより最初に発表されました。

まとめ

GDPRは、企業が順守すべき規則ですが、その目的は、消費者の個人情報を保護することで、信頼される企業となること、にあります。そのため、GDPRへ対応することは、顧客からの信頼性向上、顧客体験の向上につながります。

また、GDPRはあくまで、データプライバシーや個人情報の扱いに関する法令のひとつにすぎません。EUや日本だけでなく、世界中の各国で、さまざまな法令が施行され、また今後も発行、改訂されていくことでしょう。そのため、ひとつひとつの法令に順次対応していくのは、大変なことです。

そこで賢明なのは、どのような法令が登場しても動じる必要のない、安全で堅牢なデジタル基盤を採用しておくことでしょう。そうすれば、今だけでなく、将来にわたって有効な備えとなります。

アドビは、GDPRを始めとするあらゆるデータプライバシーへの要求に、真摯に向き合い、アドビ製品での対応に努めています。詳しくは、以下の資料をご覧ください。

次のステップ

MA分野のリーダーであるAdobe Marketo Engageについてより詳しく知りたい場合は、アドビにお問い合わせください。