EU一般データ保護規則（GDPR）への対応支援

GDPRとは

2018年5月25日施行されたGDPRは、個人のプライバシーの権利の保護と確立を目的としています。EUに在住する個人のデータを管理および保護するためのさまざまな要件を定めています。企業の所在地にかかわらず、EUに在住する個人のデータを扱うあらゆる企業・組織がGDPRの適用対象となります。違反者は巨額の制裁金を科せられるため、速やかな対応が必要です。

EUデータ保護指令が、各国の法規制整備を求める指令（Directive）であったのに対し、GDPRは規則（Regulation）となったため、全てのEU加盟国に直接適用されます。また、個人情報の取り扱いや情報主体である個人の権利の明確化、さらには高額な制裁金など、要求事項がより厳格化されています。

GDPRの適用範囲 ～ どのような場合に日本企業に適用されるのか

EUと取引のある全ての組織が対象

EUデータ保護指令では、EU域内の物理的施設（現地法人・支店・サーバなど）の保有が適用要件であったのに対し、GDPRではEU域内に物理的施設を保有しない場合でも適用を受ける場合があります。GDPRでは、EU圏内に所在する組織に加え、EUと取引のある全ての組織が対象となります。

GDPRのEU域外への適用要件

（1）EU域内に物理的施設は保有しないが、EU域内に在住する個人に商品やサービスを提供する場合（インターネットやアプリを用いたオンライン・サービスの提供など）

例1）EU域内の顧客がサービスサイトにアクセスし、問い合わせフォームなどに個人情報を登録する

• EU域内各国の顧客が、サービスサイトやサポートサイトから、IDやメールアドレスなどを登録
• サイトで登録された個人データを、EU域外の情報管理系システムに蓄積・処理
  

例2）EU域内に住む顧客に対するサポートセンターを、EU圏外の国（アジアなど）に開設し、個人情報を含むサービス履歴を蓄積している

（2）EU域内の物理的施設の活動に関連する個人データを取り扱う場合

例1）EU域内に設定してある子会社が収集した顧客の個人情報に、日本の本社からアクセスして端末に個人情報を表示する

• 海外子会社を通じて収集した、顧客の活動情報や課金傾向などを含む個人情報をEU域内で収集し、保管
• 日本国内からアクセスして分析し、販売／開発戦略立案に活用
  

例2）ログインアカウントやIPアドレスなど顧客の個人情報が出力されている可能性があるCookieやログファイルを、日本国内に収集している

例3）EU域内の拠点と日本本社との間のメールで、従業員の人事評価などの個人情報を送受信している

（3）EU域内に物理的施設は保有しないが、EU域内に在住する個人の行動を監視する場合（位置情報のモニタリング、デジタル化されたプロファイリングなど）

例1） EU域内にある子会社／支店が収集した個人データを、USに拠点を置く子会社などのデータセンターに保管し、日本国内からUSのデータセンターにアクセスして、個人情報を端末に表示している。

• 海外子会社を通じて収集した個人データをEU域内で収集し、保管
• EU域内で保管しているデータをUSのデータセンターに移転
  
• USのデータセンタで管理されているに個人データに日本国内からアクセス

GDPRで日本企業が押さえるべき8つの主要項目と対応のポイント

日本企業がGDPRの要求事項を確実に満たすために、押さえておくべき８つの主要項目を紹介します。
あわせてGDPR対応のポイントも紹介します。

1．権利侵害時の公開義務

個人情報の侵害が発生した場合、72時間以内に監督当局に報告します。情報主体にも遅滞なく通知する必要があります。

GDPR対応のポイント（1）インシデント対応ルールの整備

個人データの紛失・漏洩などがあった場合には、72時間以内に監督機関に通知し、必要に応じて遅滞なくデータ主体（個人）にも通知する必要があります。サイバーインシデントの発生に備え、提携先や業務委託先を含めて、通知ルールを見直す必要があります。

2．域外へのデータ移転制限

十分性認定を受けていない第三国への個人データ移転を禁止しています。移転に際しては一定の対応が必要となります。

GDPR対応のポイント（2）個人情報記録簿の作成

取り扱う個人データに関して、「個人情報記録簿」を作成し維持する必要があります。EU当局からの要請に対応するために、内容は英語で作成する必要があります。

3．個人の権利保護強化

個人情報の収集と利用に関して、情報主体（個人）による明確な同意取得が必要です。「削除権」なども明記されています。

GDPR対応のポイント（3）規定類の改定

個人情報管理規程およびプライバシーポリシーならびに情報セキュリティポリシーなどは、GDPR要求事項を網羅する内容に改定する必要があります。

4．透明性のある個人データの取り扱い

個人データは、適法、公正かつ透明性のある手段で取り扱うことを明文化する必要があります。

5．安全管理措置

個人データに対する技術的、組織的な対策により保護する必要があります。委託先となるデータ処理者にも適用されます。

GDPR対応のポイント（4）SCC・業務委託契約の見直し

個人データの処理に係る取引先および委託先との契約内容を整理する必要があります。EU域内企業との契約にはSCC（標準的契約条項）などを付加し、国内委託先（クラウドベンダーやDC（データセンター）事業者）との契約はGDPR要求事項を網羅した内容に見直す必要があります。

GDPR対応のポイント（5）データ主体要求への対応

データ主体からの要求に応じて個人データの削除に必要性が生じた場合、管理者はバックアップデータを含め、すみやかに削除するとともに、提携先や委託先がその個人データを削除していることを確認する必要があります。

6．データ保護影響評価（DPIAs）の実施

新技術の利用によって個人の権利に対するリスクが高い場合、データ保護影響評価を実施する必要があります。

GDPR対応のポイント（6）データ保護影響評価（DPIA）の実施

高リスクなデータ処理（例 大規模モニタリング、プロファイリング、要配慮情報の利用）に対しては、影響度調査を実施し、リスク低減策を策定する必要があります。

7．データ保護責任者（DPO）の設置

データ保護に関する知識、専門性を有するDPOを任命し、当局に通知します。

GDPR対応のポイント（7）組織・体制の見直し

DPOもしくはEU代理人の設置義務が生じる場合、適任者を選任した上で、個人情報管理体制を見直す必要があります。設置義務が生じない場合でも、個人情報管理責任者を任命し、インシデント発生時の対応などに備えた体制の見直しが必要です。

8．高額な制裁金

重大な違反を犯した場合、全世界の年間売上の4％の制裁金が科されるため、全社的な対応を進める必要があります。

GDPR対応のポイント（8）データマッピング

保有データを識別した上でデータフローを整理し、リスクを可視化します。データマッピングシートを作成し、「削除権」や「安全管理措置」などへの対応方針を策定します。

日本企業におけるGDPR取り組みモデル～各部門においてどのような対応が必要なのか

GDPRの遵守に向けては、全社的な対応が求められます。各部門に求められる取り組みの一例を紹介します。

GDPR対応をどのように進めればよいのか

GDPR対応の第一歩は、現状におけるGDPR要求事項とのギャップを知ることです。

PwCがサポートした実際のプロジェクトでは、以下のようなアプローチよって、GDPR対応を合理的に進めています。