情報セキュリティニュース

COLUMN

ホーム

GDPRへの取組について

2018年5月25日にGDPRが施行予定となっており、EUに拠点を持つ企業だけでなく
EUに在住の方に対してサービス提供をする日本の企業なども対応が必要となっています。
直近ではgoogleやWebサービスを提供する会社から「利用規約の改定・プライバシーポリシーの改訂」などの
お知らせが届いている方も多いのではないでしょうか。

グローバルに展開している日本企業の中では「GDPR」というキーワードが注目されていますが、
GDPRがどのようなものであるか、企業はどのような対応をしなければいけないのか、自社が対象であるのかなどに
ついてはっきりとした認識ができていないことも多い状況となっています。
ここでは、GDPRの概要とたGDPRの対象となる企業がどのような取組みをおこなっていけばいいのかを
簡単にまとめていきます。

■GDPRについて
GDPRはEU一般データ保護規則(General Data Protection Regulation)の略で、EUにおける
新しく定められた個人情報保護に対する枠組(法律)です。EUにおける個人データの保護に対する権利という基本的人権を目的とした
法律となります。日本でいう個人情報保護法のようなものであると考えてもいいでしょう。
GDPRは大枠としては「個人データの処理」「個人データのEEA(欧州経済領域)の域外への移転」や「個人データの基本的」などについての
法律な枠組みを規定しているものとなります。
GDPRは2016年5月に発効されましたが、移行期間が設けられ2018年5月25日が施行日となっています。施行日以降は対象企業が
GDPRに違反した場合の罰則が適用されることになります。

■GDPRの対象
GDPRの適用対象は、EU内に拠点を置くデータ管理者、処理者(データ管理者の委託先としてデータを処理する組織)、データの主体(個人)となりEU域内に拠点がなくても、EU居住者に商品やサービスを提供・モニタリングする場合などとなります。
このようなケースの対象となる企業は主に下記の通りとなるでしょう。

・EUにグループ会社や営業所のある企業
・日本からEUに商品・サービスなどを提供している企業
・EUから個人データについての委託を受けている企業

EU内に支社があるグローバル企業・Webサービスなどを提供していてEUがサービス提供の範囲に含まれる企業、この2つが
大きくGDPRの対象になると考えていいでしょう。

■企業のGDPRの取組方法
対象の企業の取組は大きく下記のようになります。

・GDPRの要求事項の把握
・個人データの取扱いについての調査
・現状とGDPRの要求事項の差分についての対応方針の作成
・組織の役割整備・規定及び文書整備・運用の整備・システム対応
・運用状況の確認・見直し

GDPRの内容はJIPDECのHPでも公開されていますので参考にするといいでしょう。
ただし、内容自体は分かりづらい部分も多いため
JETROの公開している「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
を確認することで具体的な対応のイメージをつかむとよいでしょう。

ただし、GDPRの内容は多岐に渡り具体的な対応については自社のみでは対応が難しいことも多いため、ベンタ-やコンサルティング会社などに問い合わせてみることも
考えましょう。

一覧へ