2019年1月23日、日本はGDPRにおいて十分性認定国となりましたので、最新のこちらの記事をお読みください。
海外の法律なので知らなかった…では済まされないGDPR
2018年5月25日、欧州において従来の「EUデータ保護指令」に変わる個人情報保護に関する新しい枠組みとして「EU一般データ保護規則」いわゆる「GDPR(General Data Protection Regulation)」という法律が施行されました。
海外、しかも日本から遠い欧州の法律なので日本の企業の多くは「GDPRって何?」「ウチには関係ないよね?」と思ってしまいがちですが、実は日本の企業も対象となる可能性があります。
元々対象範囲が広く、制裁金が恐ろしく巨額であることから大きな注目を集めたGDPRでもあり、巨額な制裁金が課されてしまった日には、企業によっては存続すら危ぶまれるリスクにも。
今回はこの知らなかったで済まされないGDPRの日本企業への影響をテーマに解説して参りたいと思います。
- 【GDPRの日本企業への影響は?】欧州の法律でも制裁金の対象になる可能性
- 【GDPRは個人情報保護法で代用できる?】十分性認定へ期待高まる日本企業
【日本企業への影響は?】欧州の法律でも制裁金の対象になる可能性
日本企業でもEEA域内の個人データを取り扱っていれば対象になる
GDPRは欧州で施行された法律ですが、EEA域内(欧州経済領域)の個人データを保護することを目的としている法律であることから、EEA域内の個人データを取り扱うすべての企業が対象となります。
GDPRの対象となる企業の所在地がEEA域内に限定されているわけではないため、日本の企業ももれなく対象となりますし罰則も適用されます。
つまりGDPRの対象となる要件自体はシンプルであり、EEA域内の個人データを取り扱っているか否かが、このGDPRの対象となる/ならないの境界線となっています。
EEA:European Economic Area(欧州経済領域)を意味し、EU(欧州連合)<28カ国、国名省略>と、EUに加盟していないその他各国の連合体であるEFTA(欧州自由貿易連合)<アイスランド、リヒテンシュタイン、ノルウェーなど>を加えた枠組みです。
ウェブサイトを通じて販売・サービスを提供している場合は特に注意
日本にある企業が、ウェブサイトなどを通してEEA域内のお客様に商品を販売したりサービスを提供した場合、その過程で取得したお客様の個人データはGDPRの対象となります。
海外のECについては販売先の顧客情報が該当することが容易に想像できると思いますが、他にも宿泊サイトや飲食店の予約サイトを運営、またはこれらのサイトやサービスを利用している企業についても対象となるので注意が必要です。
メルマガの配信スタンドやユーザー登録が必要なスマホアプリなども同様に、個人情報を取得・管理していることでしょう。このようにGDPR対応が求められる業種・業界が広いので、ウェブサイト周辺のユーザーデータの取得プロセスや管理状況を網羅的に把握しておくことが必要です。
GDPRにおける個人情報はクッキーやIPアドレスまで含まれる
日本で一般的に個人情報と聞けば、先述のように氏名や住所、電話番号やメールアドレスなどが想像されますが、このGDPRにおける個人情報となるとこれらよりももっと広範囲のデータが対象となります。
たとえば、ウェブブラウザの情報として保存されるクッキーなども対象となるほか、ログとして集積されているIPアドレス、さらにはスマホや写真に含まれる位置情報なども対象となるので、自社でどのようなデータを取得してどこに保存されているのかを網羅的に把握する必要があります。
日本から派遣している駐在員の個人データも対象に
GDPRではEEA域内に所在する個人を対象にしており、国籍や居住地を問わないとしている関係で、日本からEEA域内に派遣している駐在員などの個人データもGDPRの対象となってしまいます。
先述のEEA域内の顧客情報については、業務やデータの可視化などを通じて容易に把握することが可能ですが、このような自社内/自グループの社員などの情報を取り扱っている人事部門なども対象となるデータを保有していることがありますので、GDPRの対象は社外の顧客データだけだと決めつけずに、網羅的な把握を意識する必要があります。
日本企業にも制裁金? 子会社や業務委託先にも注意が必要?
GDPRでは日本企業にも高額の制裁金が課せられる可能性がある
GDPRの対象が「EEA域内の個人データを取り扱うすべての企業」となっているように制裁金についてもまったく同様で、日本の企業に対しても最大で企業の全世界年間売上高の4%、または2,000万ユーロのいずれか高い方が制裁金として課せられます。
たとえば、売上が800億円の企業であった場合、4%の計算で32億円、2,000万ユーロ(約130円/1ユーロ)の計算で26億円となり、高い方が制裁金となるので最大で32億円が課せられます。
制裁金4%の対象はEEA域内での売上だけではなく売上全体が対象に
制裁金の4%についてですが、EEA域内での売上が10億円であればその4%となる2,500万円が制裁金(もしくはもう一方の条件の上限である2,000万ユーロ)と思う方もいらっしゃると思いますが、GDPRの怖いところはEEA域内での売上だけではなく、企業全体の売上に対して4%の制裁金を課してくる可能性があるという点です。
全世界の売上全体が800億円でその大半が日本における売上であり、EEA域内での売上がたった1%強であったとしても、制裁金4%の対象となる売上は800億円の方となり、制裁金は最大で32億円という計算になります。
施行初日からGoogle等が提訴され制裁金4,000億円超の可能性も
GDPRが施行された2018年の5月25日の初日から、早速GoogleやFacebook等がGDPRを侵害しているとして提訴されました。
売上額の大きい世界的な企業となると制裁金の4%は恐ろしいまでに巨額となりますが、Googleの親会社であるアルファベット社の2017年の売上は約12兆円であったため、この4%の制裁金となると4,800億円にものぼる可能性が出てきています。
世界売上5位、国内売上1位の「トヨタ自動車」の場合、2017年の売上額は約27兆円ですので、アルファベット社の2倍以上の制裁金が課される可能性があるということで、売上額の大きい企業ほどGDPRについて早期かつ十分な対応が必要であると言えます。
子会社や業務委託先について管理者責任を問われることも
GDPRでは管理者責任も問われることから、EEA域内の個人データを扱っている企業で子会社がある場合には、子会社の管理責任も問われる可能性があり、子会社だから関係ないという主張を通すのは難しいと考えるべきでしょう。
このように日本の本社としては違反していなくとも、海外子会社や各地の拠点がGDPRに違反しているケースなども考えられますので、会社や関連会社のガバナンスも含めた対応策の検討が重要です。
また、業務委託をしている場合も管理責任が問われることから、委託先で個人データを扱っている場合などは、委託先の個人データの管理体制も適切に構築されているか注意が必要です。
特にリストを使って営業的なフォローアップメールやTELコールの実施、他にもユーザーサポートをアウトソーシングしているようなケースにも気を配らなくてはなりません。
他の個人情報保護対策で代用できない? 準備期間はいつまで?
実は日本の個人情報保護対策では代用できない
EU域外国であっても、欧州委員会がデータ保護に関する施策がEUと同等水準であると認める「十分性認定」という仕組みはあるのですが、2018年6月の現時点で日本は認定を受けていないことから、日本国内では個々の企業で対応が必要です。欧州の法律だから日本の企業である自社に関係ないと思い込まずに、自社が扱う個人データを把握し、GDPRに則した対応が必要です。
もし今後、欧州委員会より「十分性認定」を受けることができた際には、個人情報保護法などの仕組みをもって代用できるようになります。
この「十分性認定」については別の記事で詳しく解説していきたいと思います。
日本向けの準備期間などは無くGDPR対応の期限はすでに過ぎている
GDPRは2018年5月26日(日本時間)からすでに施行が開始されたため、EEA域内の個人データを扱っている企業は早急な対応が必要です。
GDPRを日本にも適用するにあたっての日本向けの準備期間は設定されておらず、EUと同様に上記日時(日本時間)から日本も含めての施行となっており、いつGDPRへの違反とみなされてもおかしくない状況にあると言えます。
日本の企業はGDPRは関係ないという概念を一旦捨てて、すぐにGDPR対応としてはどこまで対応できているのかの確認と、影響範囲の網羅的な把握をされることをオススメします。
近年、世界的に個人情報の取り扱いに関するリスクが高まっていることから、今後ビジネスの拡大などでGDPRの対象となる可能性がある企業などは特に早期に対応すべきであり、今は対象でない企業も体制を事前に整備しておくことが重要です。
GDPRの対応を検討したいがどこに相談すればよい?
自力でGDPR対応も可能だが対応スピードと網羅性に難あり
現在、自社内に個人情報保護の担当者がいる場合や、プライバシーマークなどを取得されている企業でしたら比較的自力でもGDPRに対応しやすいと思われますが、GDPR対応には日本の個人情報保護法とは異なる点もあり、先述の通り制裁金も非常に高額なので、少しでも不安を感じた際には専門家からのアドバイスを受けながら対応を進めることをオススメいたします。
自社内に知識を持った人員がいない場合などは、試行錯誤の多発頻発や、情報の網羅的把握に多くの時間を取られてしまうため、計画段階から専門家からの支援やアドバイスを受けることで、無駄なく短期間でGDPR対応ができるようになります。
GDPR対応の専門家を選ぶ際に意識したいポイント
取り扱うデータの種類やデータ量、各企業の状況によって構築が必要な体制が異なることから、自社の状況をしっかりとヒアリングして理解し、最適なプランを提案してくれる専門家を選びましょう。
また、GDPR対応の過程では、個人データの取り扱いを含めた新たな業務プロセスを設計していく必要が出てきますので、現行の業務進行に支障をきたさないように配慮が必要になります。
管理・監視体制を構築する段階で、費用対効果も念頭に置いた形で計画・推進をしてくれる専門家を選ぶことで「業務負荷がかかりすぎて、通常の業務が回らなくなってしまった」といった失敗が防げるでしょう。
最後に、GDPRの対応実績を有する専門家を選ぶことも忘れてはならないポイントですね。
【まとめ】日本企業が意識しておくべきポイント
- GDPRは日本の企業も対象となる
- ウェブサイトを通じて販売・サービスをしている企業は注意
- クッキーやIPアドレス、GPS位置情報なども対象データになる
- 日本から駐在員を派遣している場合も注意
- 子会社や業務委託先にも注意
- 制裁金も変わらず最大で4%または2,000万ユーロの高い方
- 制裁金算出の売上対象はEEA域内での売上だけでなく売上全体
- 個人情報保護法やPマークでは代用できない(2018年6月時点)
- GDPR対応の準備期間はすでに期限切れとなっている
- 迅速かつ確実にGDPRに対応するためには専門家のサポートが安心
- 【GDPRの日本企業への影響は?】欧州の法律でも制裁金の対象になる可能性
- 【GDPRは個人情報保護法で代用できる?】十分性認定へ期待高まる日本企業
GDPRの専門家「三菱UFJリサーチ&コンサルティング様」
三菱UFJリサーチ&コンサルティング様は、MUFGグループの一員として海外に幅広いネットワークを保有し、GDPRの最新の動向を常にモニターできる体制を構築されています。理想論のあるべき体制の構築だけではなく、日系企業の現状と、GDPRが求める要求の差分を究明することで、最小限の対応で解決できる道筋をご提示することを心がけている企業様です。
三菱UFJリサーチ&コンサルティング 業務ICTコンサルティング部
シニアマネージャー 河合 一憲
問い合わせ先(Email):info-security@murc.jp
【無料資料ダウンロード】GDPR対応状況 フローチャート型簡易診断