GDPRとは? 日本企業が違反で巨額の罰金を払う可能性も
近年ニュースなどで耳にすることも多い「GDPR」。
EUが定めた新しい個人情報保護に関する規則のことで、日本語では「一般データ保護規則(General Data Protection Regulation)」と呼ばれています。
今回は、GDPRの概要と導入の背景、日本企業に対する影響などについて解説していきます。
GDPRは「個人データの保護に対する権利」を保護とした法律
GDPR(General Data Protection Regulation:一般データ保護規則)は「EU基本権憲章」で保障される「個人データの保護に対する権利」という基本的人権の保護を目的とした法律です。
端的にいえば、EU域内に在住している個人の情報に関する「処理」と「移転」に関するルールを定めたものです。
GDPRで定義される「個人データ」は、「識別された、または識別され得る自然人に関するすべての情報」と定義されており、識別され得る自然人は「データ主体」と定義されています。
個人データは、大きく以下の3つに大別されます。
*その人固有の情報
氏名、所在地、身体的・生理学的・遺伝的・精神的・経済的・文化的・社会固有性に関する要因など
*オンライン識別子
メールアドレスやIPアドレス、GPS、Cookieなど
*社会的な情報
マイナンバーやクレジットカード番号など
これらのデータを扱う法人は「管理者」あるいは「処理者」として位置付けられています。[注1]
GDPRは2018年5月25日から施行されており、違反した場合には、前年度の全世界売上の4%、もしくは、2000万ユーロのうち高い方が制裁金として科されます。
[注1]Jetro:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
GDPRが定められた背景
もともと欧州には、1995年に定められた「EUデータ保護指令」という個人情報保護の枠組みがありましたが、この指令はEU各国で法的な規定がバラバラで、EU共通の枠組みではありませんでした。GDPRはこの保護指令に代わるものとして制定されています。
その背景の一つにあるのが、個人の情報量の飛躍的増大です。
保護指令から20年以上が経過した現在、インターネットが社会に浸透して個人データの情報量が増大しました。「GAFA」と呼ばれるテックジャイアントがグローバルに事業を展開し、クラウドサービスなどで多くの個人情報を収集して広告などのサービスに利用していることは、私たちの生活をより便利で豊かなものに変えている反面、個人情報の大量流出などによるプライバシーの侵害のリスクも高めるものとなっています。
例えば、2016年には、GAFAの一角であるFacebookから大量の個人情報が流出し、トランプ現アメリカ大統領陣営の利用するデータ分析会社がその情報を不正取得して、大統領選に影響を及ぼすソフトウェアに利用していた事件がありました。その後も、Facebookなどからたびたび個人情報の盗難や流出などが起き、企業のデータ管理と個人情報の取り扱い方が問題化しています。
GDPRは、このような事態に危機感を頂いたEUが、個人の権利の保護と企業活動とのバランスをとるために制定したという背景があります。
GDPRは日本企業にも大きな影響を与える!違反で巨額の罰金も
GDPRは日本企業にも大きな影響を与えます。 GDPRはEU加盟国にアイスランド・ノルウェー・リヒテンシュタインを加えた「欧州経済地域(EEA)」に所在する人々の個人データを対象とするものですが、基本的にはEEAと取引のあるほぼすべての日本企業がGDPRの適用を受けます。適用される企業を分類すると以下のようになります。
*EU域内に子会社や営業所などがある企業
*EUに施設などはないが、EU域内の在住する個人に商品やサービスを提供する企業
*EU域内で取得した個人情報を域外に持ち出して処理している企業
*データ管理者からEU域内居住者のデータの委託を受けている企業
ここで注意すべきは、対象となるのが「所在する」人々のデータであって、国籍に関する規定がないことです。従って、例えば、EEA内に支店などを持つ日本企業の日本人社員の個人データについてもGDPRが適用されます。
また、現地に拠点がなくとも、EU居住者が日本のWEBサイトから物品を購入する際に、氏名や電話番号、クレジットカード番号などを入力する必要があるサービスを提供する企業やEEA域内のユーザーの行動データを取得するサービスを提供する企業も対象となります。
さらに、対象となるのは営利企業だけではありません。個人データをやり取りする公的機関や地方自治体なども含まれています。企業規模も関係がなく、中小・零細企業にも適用されます。インターネットを利用して個人データを扱う企業・自治体は基本的にGDPRの適用を受けるといっていいでしょう。
GDPRには、専任のデータ管理責任者を設けることや個人情報の漏洩などが発生した場合、72時間以内に通報するなどの義務があり、違反した場合は巨額の罰金が科されます。実際に、GDPR違反の第一号として2019年1月には、GoogleがGDPR違反で約62億円の罰金を科されています。GDPRの適用を受ける企業は、早急に組織的な対応を進めていく必要があるでしょう。
人事総務担当者は現地従業員の個人情報管理の厳重化と従業員教育を
GDPR対策には全社的な取り組みが必要となるため、企業が行うべきことは多岐に渡りますが、ここでは、人事総務担当者が何をすべきかを見ていきます。
GDPR対応にあたって、個人情報を取り扱う人事総務担当者がすべきことは、基本的に以下の2つです。
*従業員個人情報管理体制の把握
*GDPRに関する従業員への研修・教育
例えば、EEA内に子会社や支店がある場合、人事部で管理している現地従業員の個人情報をGDPRに沿った形での管理体制に変更することが要請されます。従って、社内の管理体制の見直しや新しい人事データ管理システムの導入などのプロジェクトの発足が必要となります。
また、研修等を実施して、GDPRへの理解を深めていくことも重要です。多額の罰金が科される以上、個人データの取り扱いにはこれまで以上に注意していくことが求められます。
GDPRに適応した管理体制の構築が重要
GDPRは既に施行されているため、早急な対処が必要となります。まだ対策が行われていない場合は、GDPRと現状とのギャップを把握した後に、リスクや緊急性に応じて随時対応策を実施して、情報管理体制を整えていきましょう。