GDPR(EU一般データ保護規則)で抑えておくべきポイント

はじめに

2018年5月25日に施行された「一般データ保護規則(GDPR)」。グローバルに事業を展開する当社のお客様からもGDPRの施行において何をすれば良いのか、お問い合わせいただくことが増えてきました。

そこで、本記事ではGDPRに関する主要なポイントを整理し、企業の皆さまがどのような点を押さえておけば良いのかをご説明します。

目次

  • GDPRとは
  • GDPRの理解で押さえるべきポイント
  • GDPRの影響を受ける日本の組織

GDPRとは

欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組み。「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が正式名称です。

グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっていますが、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まっている現状があります。

1995年には、EUデータ保護指令が策定されていましたが、それに代わる、より厳格なものとしてGDPRは発効されました。EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。GDPRは、2012年に立案、2016年4月に採択され、2018年5月25日に施行され、個人データを収集、処理をする事業者に対して、多くの義務が課されることになります。

また、EUデータ保護指令は各国での法規定は加盟国ごとにバラバラで良い「指令(Directive)」でしたが、GDPRは「規則(Regulation)」ですので、全てのEU加盟国に共通の法規則として適用される点が大きな違いです。

GDPR入門 - マーケターが押さえておくべきGDPRの基本と対策

GDPR入門 - マーケターが押さえておくべきGDPRの基本と対策

eBookダウンロード

GDPRの理解で押さえるべきポイント

それではGDPRを理解する上で必要になるポイントを一つずつ見ていきましょう。

【対処となるデータ】

個人データ(氏名やクレジットカード番号)。企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外となる。

【適用対象】

EU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)。EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。

【義務内容】

<個人情報の処理>

<個人情報の移転>

  1. 本人同意を得る
  2. 拘束的企業準則(binding corporate rules)を策定する
  3. 標準契約条項(SCC:Standard Contractual Clauses)を締結する

のいずれかの要件を満たしに行く必要がある。

【制裁】

上記のGDPRで定められた義務内容に違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロ(1ユーロ125円とすると25億円)のどちらか高い方が制裁金として課される。(「全世界売上高」というのはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることを意味する。)

GDPR入門 - マーケターが押さえておくべきGDPRの基本と対策

GDPR入門 - マーケターが押さえておくべきGDPRの基本と対策

eBookダウンロード

GDPRの影響を受ける日本の組織

日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。

  1. EUに子会社、支店、営業所、駐在員事務所を有している
  2. 日本からEUに商品やサービスを提供している
  3. EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)

例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。

また、海外に拠点を持っていない場合でも、EU居住者が日本のWebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。

EU域内の個人データを扱う可能性がある場合、経営層や法務部門と連携し、社内ルールの見直しやデータ保護責任者の選任などの管理体制の強化、個人データを処理するシステムに対しての安全対策を行う必要が出てくるでしょう。

GDPRへの対応にあたり、詳細な情報は日本貿易振興機構(ジェトロ)が発行するEU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)が参考になります。また、PwC JapanDeloitteトーマツなどの企業が、GDPRにおける必要な対策の策定・実施の支援、管理態勢とシステムの整備、その後の運用改善を図るサービスを提供しています。社内の各部門だけでなく、外部の専門家の力を使いながら、十分な体制・ルールを整えていきましょう。

GDPR入門 - マーケターが押さえておくべきGDPRの基本と対策

GDPR入門 - マーケターが押さえておくべきGDPRの基本と対策

eBookダウンロード

マルケトのGDPRに関する資料

以下は、お客様によるGDPRの下における新しいデータ保護状況の遵守および理解を促進するためにマルケトが作成した資料へのリンク先です。

GDPRに関するブログ投稿および記事

以下は、GDPR、プライバシーおよびデータ保護に関連するブログ投稿および記事へのリンク先です。

次のステップ

MA分野のリーダーであるAdobe Marketo Engageについてより詳しく知りたい場合は、アドビにお問い合わせください。