Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)テクノロジーでビジネスを加速するための実践Webメディア

テーマ別に探す

待ったなしのEU一般データ保護規則、適用対象になるのはどんなケース?どのように進めるべき?

2016/10/31 12:00

 2018年5月からEU内で一般データ保護規則が発効となる。もう2年を切ったところだ。個人情報を取り扱うグローバル企業はどう対応すればいいか。「Security Online Day2016」の特別講演においてPwCコンサルティング合同会社の門脇一史氏がポイントを解説した。

適用対象になるのはどんなケースか?

 EUにおける個人情報保護が2018年から変わる。現行法は1995年に採択された「EUデータ保護指令」となる。なおEU法では拘束力の低い順に「勧告・意見」、「決定」、「指令」、「規則」と4類型で構成されている。現行法の「指令」というのは、指令の中で命じられた結果のみ加盟国を拘束し、達成手段や方法は加盟国に任されている。そのためEU内で個人情報保護に関する手続きや法律はそれぞれの国内法に従わなくてはならず、煩雑で非効率という指摘もあった。  

PwCコンサルティング合同会社 門脇 一史氏

 そこで各国ごとの「指令」から「規則」を定めようという動きになり、2012年に一般データ保護規則提案が公表された。後にEU内で議論や修正が進み、2016年4月に欧州議会が一般データ保護規則(以下、GDPR)を2018年5月25日に発効することを決定した。これからは「規則」となるので直接適用性を有し、加盟国の国内法体系の一部となる。つまりこれまでEU内の各国で定められていた法律は2018年5月からGDPRに置き換わることになる。  

 GDPRでは主に個人情報の取り扱い、例えばデータ移転についての規則などが定められている。情報主体となる個人の権利が基本的人権として明確にされたところは大きな特徴としておさえておきたい。民主主義において重要な基本的人権にかかわるため、違反時の制裁金は高額であり、要求事項が厳格に定められている。  

 まずは「うちはそもそも対象となるのか」を確認したいところ。門脇氏は適用される主なケースを2つ挙げた。1つは日本からEU域内に向けてサービスを提供しているケース。例えば日本で宿泊施設の予約サイトを運営していて、EU域内にもサービスを提供しているなど。EU域内の顧客の個人情報が日本に蓄積あるいは処理されるため適用対象となる。  

 もう1つはEU域内の個人データを活用しているケース。例えばEU域内で運用している顧客管理システムを日本支社からアクセスしてデータ分析するなどだ。データセンターがEU域内にあったとしても、日本にいる従業員のパソコン画面に個人データを表示するとGDPRの適用対象とみなされる。ほかにもEU域内と日本との間で従業員の人事評価など個人情報をメールでやりとりする場合も該当となる。  


関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2016 講演レポート

もっと読む

この記事もオススメ

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5