GDPR よくあるご質問
-
欧州一般データ保護規則(GDPR)の目的は「個人データの取り扱いと関連する自然人の保護」、「個人データの自由な移動」および「自然人の基本的な権利および自由、ならびに自然人の個人データの保護」です(GDPR第1条)。
個人データ保護の真の目的は、個人データ自体の保護ではなく、個人データにより識別され得る個人の人権を保護することです。本人の知らないところで個人データが誤用・悪用されることにより、個人が不当な差別や不利益を被ることを防ぐために、個人データ保護があります。
-
1980年に経済協力開発機構(OECD)が採択した「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」に含まれる8つの原則、いわゆる「OECD8原則」を取り込む形で、欧州一般データ保護規則(GDPR)第5条に定める7つの基本原則は制定されています。
- 適法性、公正性及び透明性
- 目的の限定
- データの最小化
- 正確性
- 記録保存の制限
- 完全性及び機密性
- アカウンタビリティ(または、立証責任の転換)
-
欧州一般データ保護規則(GDPR)は以下の企業に適用されます:
- EUを含む欧州経済領域(EEA)域内(以下「EU域内」とする)に拠点がある場合 EU域内に拠点がある全ての企業にGDPRが適用されます。
- EU域内に拠点はないが、EU域内の個人へ製品またはサービスを提供する場合
- EU域内に拠点はないが、EU域内の個人の行動を追跡する場合
EU域内に拠点がない場合であっても、製品やサービスの提供または行動分析によりEU域内の個人のデータを取り扱う場合は、GDPRが適用されます。よくある例として、EU向けのゲーム・アプリ・ITサービスの提供・販売、EU子会社の人事または顧客データの取り扱い、ウェブサイト訪問者や顧客の行動分析等があります。 -
欧州一般データ保護規則(GDPR)は、EU域内に拠点があるか否かに関わらず、EU域内の個人のデータを取り扱う企業を適用対象するEUの個人データ保護法です。
GDPR対応に取り組む企業の事業内容、企業規模、取り扱うデータ数、従業員数、データ漏えい時の個人へのリスクの程度等により、求められる「GDPR対応」は異なります。たとえば、何千万人分もの行動を監視・分析し個人のプロファイリングを行う大手グローバル企業と、取引先の担当者の名前と連絡先以外にEU域内の個人データを取り扱わない中堅企業では、もちろん大企業側に求められる対策のレベルが高くなります。
Enobyteは、規模感を図るためのアンケート、データ保護の実施状況とGDPRの要求のギャップを比較・分析するアセスメント、そして定期的なミーティングの実施により、GDPR対応を考えている企業がそれぞれのレベルに合った対策を無理なく進められるプランをご用意しております。
これまでの導入事例を貴社の状況・要望と比較し、プランを検討いただくことも可能です。
-
欧州一般データ保護規則(GDPR)は、管理者(取り扱いの目的と方法を決める企業、委託元)と処理者(管理者から委託を受けて個人データを取り扱う企業、委託先)それぞれに以下の義務を定めています。
管理者に課される義務は概ね以下のとおりです:- 目的を具体的にすること (「マーケティングの為」等、抽象的な目的はNG)
- 目的に必要なデータのみを取り扱うこと
- 予定されている取り扱いについて、EU域内の個人へ事前に情報提供すること
- 原則として目的が達成されたら速やかにデータを削除すること
- EU域内の個人が権利を行使した際に対応すること
- データを常に最新の状態に保つこと
- 適切な技術的及び組織的措置(TOM)を実装すること
- 全ての取り扱い活動について記録を残すこと
- GDPRに準拠している処理者へ個人データ取り扱い業務を委託し処理者契約(GDPR第28条)を締結すること
- 処理者の個人データ保護を監視すること
- EU域内の個人への高いリスクが予測される取り扱いがある場合は、事前にリスク評価を行い適切な措置を施すこと
- データ漏えいが発生した場合は、72時間以内にデータ保護監督当局へ報告すること
- 発生したデータ漏えいがEU域内の個人へ高いリスクとなる場合、個人へ通知すること
処理者に課される義務は概ね以下のとおりです:
- 管理者からの指示に従ってのみ個人データを取り扱うこと
- 別の処理者(再委託先)へ委託する場合は、管理者から事前の承認を得ること
- 別の処理者について、管理者に対し全責任を負うこと
- 全ての取り扱い活動について記録を残すこと
- 適切な技術的及び組織的措置(TOM)を実装すること
- データ漏えいが発生した場合は、管理者(委託元)へ直ちに報告すること
- 委託されている業務が完了したら、データを管理者に返却するか、管理者の指示に従い全て消去すること
GDPR対応に取り組む企業の事業内容、企業規模、取り扱うデータ数、従業員数、データ漏えい時の個人へのリスクの程度等により、課される義務および要求の程度が異なります。Enobyteは各企業に求められる具体的な対応を調査し、確実に対策を進められるよう手厚くサポートいたします。 -
十分性認定とは、欧州一般データ保護規則(GDPR)と同等の個人データ保護水準を確保するEU域外の国にEU委員会から与えられる認定です(GDPR第45条)。これにより、EU域内でのデータ移転と同じように、 EU域内から十分性認定を持つ国へのデータ移転が容易にできるようになりました。
ただし、EU域内から日本へデータを移転する際には、EU委員会が定める4つの「補完的ルール」を遵守する必要があるため注意が必要です。
現在、GDPRと同等のデータ保護水準を確保する国としてEU委員会から「十分性認定」を受けているEU域外の国は以下の14国です:
アンゴラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー島、イスラエル、マン島、日本、ジャージー島、ニュージーランド、韓国、スイス、ウルグアイ、英国
-
EU域内の個人とEUデータ保護監督当局との現地連絡窓口としてEU域外の企業を代表する者を「欧州代理人(EU代理人)」、「EU Representitive」、「EU rep」と呼びます。
欧州一般データ保護規則(GDPR)は第27条で、EU域内に拠点を持たない組織が、EU域内の個人への製品またはサービスの提供、あるいはEU域内の個人の行動追跡を継続的に行う場合、EU加盟国の内メインマーケットがある1つの加盟国中にEU代理人を設置するよう義務付けています。
たとえば、EUに拠点を持たない日本企業がEUユーザー向けのソフトウェアを販売する場合等が該当します。ウェブサイトがEUの言語(ドイツ語、フランス語、イタリア語、スペイン語等)で利用可能である場合や、ユーロで価格表示を行っている場合もEU域内の個人をターゲットとしていると見なされ、EU代理人設置義務の対象となります。
-
GDPR Representative という言葉なく、EU域内の個人とEUデータ保護監督当局との現地連絡窓口としてEU域外の企業を代表する者を「欧州代理人(EU代理人)」、「EU Representitive」、「EU rep」と呼びます。
欧州一般データ保護規則(GDPR)は第27条で、EU域内に拠点を持たない組織が、EU域内の個人への製品またはサービスの提供、あるいはEU域内の個人の行動追跡を継続的に行う場合、EU加盟国の内メインマーケットがある1つの加盟国中にEU代理人を設置するよう義務付けています。
-
EU代理人は、EU域内の個人とEUデータ保護監督当局との現地連絡窓口として、EU域外の企業を代表します。
たとえば、EUユーザー向けのサービスを提供する企業へドイツの顧客から、当該企業による個人データの取り扱いについて苦情がある場合、これらの苦情は法的効力を有する可能性があります。EU代理人は苦情を受け取り、苦情を送った顧客との全てのデータ保護関連のコミュニケーションを引き受けます。当該企業へは、苦情があったこと、苦情の内容、EU代理人の対応、対応に必要な情報等について適宜連絡をします。
EU域内の個人や、EUデータ保護監督当局との外国語でのコミュニケーションに不安を抱える企業にも、EU代理人の設置はおすすめです。Enobyteでは、GDPRの専門知識を有する従業員が、お客様と日本語で密にコミュニケーションをとりつつ、現地機関とは英語またはEUの言語で対応することが可能です。