EU一般データ保護規則(GDPR)への対応支援

GDPRの概要

グローバルな経営環境の中では、各国の法規制を確実に遵守することが求められます。

2018年5月25日施行のEUの一般データ保護規則(GDPR)は、個人のプライバシーの権利の保護と確立を目的としており、個人データを管理および保護する方法を制御するためのさまざまな要件を定めた法律です。違反者は巨額の制裁金を科せられるため、速やかな対応が必要です。

EUデータ保護指令が、各国の法規制整備を求める指令(Directive)であったのに対し、GDPRは規則(Regulation)となったため、全てのEU加盟国に直接適用されます。また、個人情報の取り扱いや情報主体である個人の権利の明確化、さらには高額な制裁金など、要求事項がより厳格化されています。

GDPRの適用範囲

EU域内の物理的施設(現地法人・支店・サーバなど)の保有がEUデータ保護指令の適用要件であったのに対し、GDPRではEU域内に物理的施設を保有しない場合でも適用を受ける場合があります。GDPRでは、EU圏内に所在する組織に加え、EUと取引のある全ての組織が対象となります。

GDPRのEU域外への適用要件

(1)EU域内の物理的施設の活動に関連する個人データの取り扱い

(2)EU域内に物理的施設は保有しないが、EU域内に在住する個人に商品やサービスを提供する場合(インターネットやアプリを用いたオンライン・サービスの提供など)

(3)EU域内に物理的施設は保有しないが、EU域内に在住する個人の行動を監視する場合(位置情報のモニタリング、デジタル化されたプロファイリングなど)

GDPRの要求事項

2018年5月25日までに下記要求事項を確実に満たすには、主要事業であり、かつリスクの高い事業における対応を優先し、そこで培ったノウハウをグループ企業や海外拠点に展開していくなど、合理的な手法によって対応を進める必要があります。

1.権利侵害時の公開義務

個人情報の侵害が発生した場合、72時間以内に監督当局に報告する。情報主体にも遅滞なく通知する必要がある。

2.域外へのデータ移転制限

十分性認定を受けていない第三国への個人データ移転を禁止している。移転に際しては一定の対応が必要となる。

3.個人の権利保護強化

個人情報の収集、利用に際しての、情報主体(個人)による明確な同意取得が必要。「削除権」なども明記されている。

4.透明性のある個人データの取り扱い

個人データは、適法、公正かつ透明性のある手段で取り扱うことを明文化する必要がある。

5.安全管理措置

個人データに対する、技術的、組織的な対策により保護する必要がある。委託先となるデータ処理者にも適用される。

6.データ保護影響評価(DPIAs)の実施

新技術の利用によって個人の権利に対するリスクが高い場合、データ保護影響評価を実施する。

7.データ保護責任者(DPO)の設置

データ保護に関する知識、専門性を有するDPOを任命し、当局に通知する。

8.高額な制裁金

重大な違反を犯した場合、全世界の年間売上の4%の制裁金が科されるため、全社的な対応を進める必要がある。

GDPR対応トータル支援サービス

GDPR対応の第一歩は、現状におけるGDPR要求事項とのギャップを知ることです。

PwCのプロジェクト事例では、以下のアプローチで、GDPR対応を合理的に進めています。

GDPR対応トータル支援サービス

アセスメント(Assessment)

  • アセスメント準備
    • 個人情報の特定
    • 取得する個人情報を整理
    • 貴社個人情報管理規程、ならびに個人情報管理細則の確認
    • インタビュー項目、質問表の精査
    • データフローの整理
  • アセスメント実施
    • 該当部門に対してアセスメントを実施
    • 該当個人情報のGDPRの適用/非適用を再整理
    • GDPR要求事項における個人情報管理状況とのGapを分析
    • Gap分析の結果を整理

方針検討(Design)

  • 管理体制の強化
    • グローバル管理体制の整理と強化方針を検討
    • 域外移転手続きの方法(本人同意、SCC、BCR)を検討
  • 個人データ利用業務の見直し方法検討
    • 個人データ管理業務(個人情報取得からデータ加工、情報破棄、など)の見直しを検討
    • インシデント対応管理業務の強化を検討
  • システムソリューションの導入/更改
    • 個人データの管理や活用で利用するシステムに対するセキュリティ強化策を検討
    • 個人データを利用する従業員や外部委託先含めての不正検知策を検討

実装(Implement)

  • 個人情報保護対応強化策の実装と各国への展開
    • 社内規定額の改訂を支援
    • 域外移転に関する同意/契約の締結支援
    • 管理体制の見直しと定着化を支援
    • 業務プロセスの変更を支援し、国外各地オフィスへの展開に際しても、現地のPwCオフィスと連携し、現地の慣習に合わせたトレーニングマテリアルの準備や研修を実施
    • システムソリューションの導入/更改の要件整理や設計、プロジェクト管理を支援
    • インシデントの検知から関係国当局との連絡、広報対応までの訓練を実施

GDPRオプションサービス

サービス名

サービス概要

72時間侵害通知支援サービス

  • インシデント発生時の調査
  • EU当局への侵害通知レポートの作成
  • 原因解明に向けた継続調査、復旧支援

テーマ別支援サービス

  • データマッピング支援
  • 規程類の整備支援
  • 域外移転のクリアランス支援
  • データ主体権利への対応支援
  • 安全管理措置施策支援
  • DPIA支援
  • DPO支援
  • GDPR関連情報提供

インサイト/ニュース

主要メンバー

山本 直樹

PwCコンサルティング合同会社 パートナー, 東京, PwC Japan

Email

岸 泰弘

PwCあらた有限責任監査法人 パートナー, 東京

Email

松浦 大

PwCコンサルティング合同会社 マネージャー, 東京, PwC Japan

Email