いまさら聞けない個人情報保護法~GDPRへの対応

行政書士 岡 高志 でございます。

個人情報保護法への対応はしてますけど、WEBでのcookieの取得はどうしましょうか。
EUの個人情報保護ルールが変わって cookieの取得にも規制が適用されるので、その対応が話題でした。

GDPR とは

EUでは、EU域内の個人データ保護を規定する法として、1995年の「EUデータ保護指令(Data Protection Directive 95)」に代わり、「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。

それに対して、日本政府はセミナーを開催する程度で、日本国内のルールを変更するといった議論にはなっていません。
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/gdprseminar/

グローバルにビジネスを展開されている企業であれば、EUのルールにも準拠して体制整備をします。国内を中心とした企業でも、WEBにはEU域内からのアクセスもあるでしょう。

GDPRの日本への影響

個⼈情報保護委員会主催のセミナー(2018.11.20)で示されたポイントは

日本の企業への適用

欧州子会社などがEUで個人情報を取り扱う場合は当然適用されるが、EUに拠点を置かなくても日本からEUの顧客を対象に通信販売を行ったり、EU域内の消費者行動を分析したりする場合も、GDPRの規定が適用される。

企業の主な義務

個人情報を取り扱うに当たり、本人の同意を得ることや正当な利益等に基づくこと。

データ処理を行う前にその目的を確認すること
処理の目的を果たし次第データを削除すること
情報漏洩の防止策を設けること
EUの域外へデータ移転をする場合その法的な根拠を確定すること

企業に対しての個人の権利

自分の情報がどう取り扱われているか確認でき、誤った記載を修正、削除する権利を確保し、データを他の管理者または自分に転送してもらうことなどがある。

データ漏洩についての企業の対応

個人情報の盗難、改ざん、消失などが発生した場合、処理者なら管理者に、管理者なら72時間以内にデータ保護機関に通報する義務がある。

さらにリスクの高い事案であれば、管理者は情報対象の本人たちにも通報しなければならない。

EUから日本へのデータの移転

法的な根拠が条件となり、根拠の一因として、データ保護体制などで判断される移転先としての十分性が条件となる。

日本の十分性については、欧州委員会が承認しており、日本へのデータ移転は原則として自由に。

GDPRについて、日本企業はパニックになる必要はない。
理解を深め、経営の優先事項として対処することでチャンスが到来すると捉えるべきだ。

EUのGDPRについては、日本の個人情報保護委員会のサイトでも詳細に情報提供されています。
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/