リスクアドバイザリー

EU一般データ保護規則 日本企業の実務への影響と対応 [前編] 概要

2016.08.25

はじめに

2016年4月、EUの一般データ保護規則(General Data Protection Regulation, 以下GDPR)が欧州議会によって承認され、2年後の2018年5月25日より適用されることが決まりました。GDPRではどのようなことが求められており、日本企業にとってどのような影響があるのかについて概要を解説します。

1. GDPRの概要

(1) GDPRとは

GDPRはEUにおける新しい個人情報保護の枠組みであり、個人データ(personal data)の処理と移転に関するルールを定めた規則です。1995年から適用されたEUデータ保護指令(Data Protection Directive 95)に代わり、EU加盟諸国に対して直接効力が発生する「規則」としてGDPRが制定されました。その目的としては、個人情報の保護に関する権利という基本的人権の保護である旨が掲げられています(GDPR第1条)。

(2) 規制事項

GDPRによる規制事項は、大きく分けて①取得ルール ②処理ルール ③域外移転ルール の3つに分類することができます。

<規制事項の内容>

分類 主な規制事項
①取得ルール
  • 個人データの取得にあたり、企業は情報管理者(Controller)として当該管理者の身元や連絡先、処理の目的、第三者提供の有無、保管期間、情報主体者の有する権利などについて、明確かつ分かりやすい表現により情報主体者(Data Subject)に通知しなければならない。
  • 企業が上記に関して同意を得る際には明確な取得方法を採用しなければならず、また情報主体者である本人が同意を自由に撤回することができるよう、同意の付与時と同程度の容易性をもって撤回できるような仕組みとする必要がある。
  • 個人データを情報主体者から直接取得していない場合、企業は当該情報の入手先を本人に通知しなければならない。
②処理ルール
  • 個人データの処理および保管にあたり、適切な安全管理措置を講じなければならない。
  • 処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない。
  • 従業員数が250名以上である企業や特殊な種類の個人データ処理を実施している企業などでは、個人データの処理に関する記録を書面で残さなければならない。
  • 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し72時間以内に通知しなければならない。
  • 定期的に大量の個人データを取扱う企業などでは、データ保護官(Data Protection Officer)を任命しなければならない。
③域外移転ルール
  • EEA(欧州経済領域)の域内から域外への個人データの移転は原則として禁止され、欧州委員会によって適切な個人情報保護制度を有していると認められていない国への情報移転にあたっては、企業は適切な施策のもとで一定の条件(※)を満たす必要がある。
(※)拘束的企業準則(Binding Corporate Rules)の策定、標準契約条項(Standard Contract Clauses)の締結など

【関連ページ】

情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?