GDPRの適用開始に向けた動向

Ⅰ  はじめに

2018年5月25日のEU一般データ保護規則（以下、GDPR）の企業への発効まで、およそあと1年となりました。16年5月の施行当時に比べ、私どもでもGDPRについての問い合わせを受けることが多くなり、対策を始めている企業がかなり増えてきたように感じます。割合としては、顧客を対象にビジネスを行っている企業が多いですが、BtoBのようなビジネス形態の企業でも、対策に取り掛かっています。
GDPRでは、欧州連合（EU）に拠点のある企業はもとより、EUに拠点を持たない企業でも、EU市民の個人データを扱う企業は対象となります。EUに子会社を持っているか否かにかかわらず、例えば日本本社でEU市民のデータを直接扱っている場合、日本本社側での対応も必要になってきます。
 

Ⅱ  最近の動向

1. Brexitの手続き開始

先日EU基本条約第50条が発動され、英国のEU離脱（Brexit）の手続きが開始されました。BrexitのGDPRへの影響については、英国に拠点を置く企業の懸念事項の一つかと思いますが、次の理由から影響は少ないと考えられています。

よって、英国居住者のデータを扱う企業は、Brexitに関係なくGDPRを遵守することが求められます。

2. ガイドラインの公布

現在までのところ、第29条作業部会により次のトピックについてガイドラインが出されています。

また、以下のトピックについても、17年度中にガイドラインが出されることが公表されています。

同意については、英国の監督機関である情報コミッショナーオフィス（ICO）がガイダンスの草案を近頃発表しましたが、これらのガイダンスが出されることでGDPRの要求事項が明確になり、企業は対策を講じやすくなると期待されています。
 

Ⅲ GDPRへの対応

1. 企業の反応

EYと国際プライバシープロフェッショナル協会（IAPP）が各企業のプライバシー専門家を対象に共同で実施したサーベイの結果、GDPRの要求事項で企業にとって対応が最も難しいと考えられているのは、1位から3位の順に、忘れられる権利^※1への対応、データポータビリティ^※2への対応、明確な同意の取得^※3となっています（＜図1＞参照）。

忘れられる権利への対応として、まず、バックアップも含め、個人データがどこにどのように保持されているのか把握し、要求があった場合に適宜データの削除ができる状態にしておくことが重要となります。

2. データの移転

＜図1＞の4位に上げられているデータの移転に関しては、日系企業の最も大きな懸念事項の一つかと思います。GDPRでは業務の形態にかかわらず、欧州経済地域（EEA）外に個人データを移転することは以下の例外事項を除き、原則として禁止されています。これには、例えばEUに拠点を置く子会社から日本本社へ従業員に関わる個人データを送る行為も含まれます。

GDPRではデータの処理と移転に関し、前記のような法的根拠を確立することが必要になりますが、それには「同意」以外の方法を用いた方がよいとされています。これは、例えば企業が社員の個人データを処理・移転する際に用いられる「同意」が、本当に本人の自由意志で得られたものかを判断するのが難しいためです。
 

Ⅳ おわりに

企業が対策を始める場合、ギャップアナリシスやマチュリティーアセスメントなど、現状分析から行っているところが多く見られます。現状分析の結果を元にGDPRの要求事項とのギャップを割り出し、対策を講じていくやり方が効率的かと思います。18年5月までに対応を済ませて運用を開始できるよう、早めに準備をスタートさせることをお勧めします。
 

※1個人データの保有の必要性がなくなったなどの事由がある場合、データ主体者は情報管理者に対し、本人に関する情報の遅滞なき削除を要求することができる権利

※2本人が事業者など、ある主体に個人データを提供した場合、その主体が有するその個人についての情報を、他の主体に移転することを要求できる権利

※3データの処理・移転に関し、目的を特定し明確な説明の下、データの主体者である本人の自由意志で同意を得ることが求められる。また、同意を取得したことの証拠となる記録を残す必要があり、同意を要求する文言は分かりやすいものにしなければならない。