【企業コンプライアンス】海外法令動向紹介　～　GDPRについて

（General Data Protection Regulation：一般データ保護規則）　～

2018年5月25日、欧州連合（EU）において、新しい個人情報保護法が適用開始となります。この新しいEUの個人情報保護法の名称は、General Data Protection Regulation（一般データ保護規則）といいます。日本においても個人情報保護法が改正されるなど個人情報保護の強化が世界的に進んでおりますが、このGDRPが適用開始となるとどのような影響が考えられるでしょうか。

【GDRPの概要】

①EEA域内（EU加盟国28カ国＋アイスランド、リヒテンシュタイン、ノルウェー）の現地法人・支店・駐在員を置くすべての企業・団体・機関が対象。

（EEA域内に拠点などを置かない場合でも、インターネット取引などでEEA域内の所在者の個人情報を取得・移転する場合は適用対象となる。）

②EEA域内で取得した「氏名」「メールアドレス」「クレジットカード番号」などの個人データをEEA域外に移転することの原則禁止。

（個人データの範囲は、職業上の電子メールアドレス、IPアドレス等のオンライン識別子、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因も含まれる。）

②EEA域内から個人データを第三国に移転するには、当該第三国がEUから見て十分な水準の保護措置を確保している場合に限定する「十分性の認定」が必要。

（2017年12月時点では、日本は「十分性の認定」されず。）

③「十分性の認定」がないEEA域外の第三国に個人データの移転を行うためには、(Ⅰ)データ主体（本人）から明確な同意の取得、(Ⅱ)欧州委員会が策定した標準契約条項を採用する、(Ⅲ)事業者が策定した拘束的企業準則を採用する、ことが必要。

④違反の場合は制裁金が科される。

【まとめ】

日本が「十分性の認定」をされていない現状においては、EUを含めたEEA域内に支店や営業所、系列企業などを持つ日本企業に大きな影響が及ぼされます。現地社員の個人データはもちろん、日本から出向している駐在員も扱いをルールに従ったものにしなければなりません。また、EEA域内に出張等で訪問した際に入手した個人データについても十分に注意する必要があります。

現時点では日本は「十分性の認定」の採択がされていませんが、欧州委員会の委員によると「2018年早期に十分性認定の採択は可能」とのスピーチをしており、日本の「十分性の認定」の早期の採択が望まれます。もっとも日本が「十分性の認定」の採択をされたとしても、他の第三国への個人データの送付には別途、その国の「十分性の認定」が必要となりますので注意が必要です。

参考文献：

・JETRO（日本貿易推進機構）　世界のビジネスニュース（通商弘報）5467c659e5f803bb

【日・EU間の個人データの保護レベル、十分性認定を急ぐ－欧州委のヨウロバー委員が訪日スピーチ－　2017年12月19日】

https://www.jetro.go.jp/biznews/2017/12/5467c659e5f803bb.html

（担当：萩生田）