2018年4月19日
相次ぐ国内・国外とわず個人情報漏えいの報道がなされる中で、先日、フェイスブックが保有する5000万人のユーザー情報の外部流出も大々的に報じられましたが、
フェイスブックへのデータへのハッキングや、データ管理の不手際で個人情報が漏れたものではない事がアナウンスされていても個人情報に関しては日を追うごとに厳密・厳格なルールが
日本でも改正個人情報保護法(平成29年5月30日)が施行されたように、欧州では2018年5月に「GDPR」が施行されます。
GDPRは「General Data Protection Regulation」の略で、「一般データ保護規則」とも呼ばれる個人情報保護の法律となっており、該当するその内容は、端的に言えば「個人データ」の「処理」と「移転」に関する法律。
その主な内容を一部まとめると以下のようになります
2018年5月25日から適用開始
・個人データの保護に対する権利という基本的人権の保護を目的とした法律(EU基本権憲章)
・適正な管理が必要とされ、違反には厳しい行政罰が定められている
・EEA内に支店、現地法人などが無くても、ネット取引などでEEA所在者の個人データをやり取りする場合は対象になる
・組織の規模、公的機関、非営利団体等関係なく対象となる(中小零細企業でも対象だが一部例外措置あり)
・個人データの取扱い状況によってはデータ保護責任者(Data Protection Officer:DPO)やEEA内に代理人(Representative)の選任が必要になる
GDPRで日本への影響はどうなのか?
では日本はどうなのか?という部分はこれから更に細かい情報・法規制が行われる可能性がありますが、
GDPRでは、特にEU内に事業拠点がなくても適用される「域外移転」を厳しく規制。
「域外」とは、欧州経済領域EAA(EU加盟国にノルウェー、アイスランド、リヒテンシュタインを含める)以外。
個人データの域外移転は原則として禁止されており、域外移転が可能なのは、EUがデータの保護措置が「十分なレベル」にあると認められる国のみとなっているが、2017年11月現在で日本はこれに含まれていない。
ただ、日本に本社があるウェブサイトで、EEA所在者に対して商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は、本社に対してGDPRが直接、適用される可能性があることに注意が必要。
さらに気をつけなければならないのが、「罰則の強化」。
以前の法律(EUデータ保護指令)よりも制裁金が高額に。制裁金は2種類。
例えば、「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」は、企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方が適用される場合がある。
また、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方となっている。2000万ユーロは、日本円に換算すると約26億円にも。
海外向けECサイトを展開してないから関係ない。ではなく、海外ビジネス・海外事業を行なっている場合該当するケースもあるはずです。
GDPRに関しては様々なWebメディアからも報じられてますが、一瞬の情報を鵜呑みせず、精通する弁護士など確かな情報のみしっかり確認するよう注視ください。
EU一般データ保護規則(GDPR)の概要(前編) NTTデータ先端技術株式会社
http://www.intellilink.co.jp/article/column/security-gdpr01.html
GDPR – アマゾン ウェブ サービス (AWS)
https://aws.amazon.com/jp/compliance/gdpr-center/
EU 一般データ保護規則(GDPR)について | ジェトロ
https://www.jetro.go.jp/world/europe/eu/gdpr/