2019年1月23日、日本はGDPRにおいて十分性認定国となりましたので、最新のこちらの記事をお読みください。
【GDPRは個人情報保護法で代用できる?】十分性認定へ期待高まる
制裁金が巨額であり、またその対象範囲が広いことから注目を浴びている、欧州委員会の新しい法律「GDPR(EU一般データ保護規則)」ですが、日本の個人情報保護法(正式には2017年の改正個人情報保護法)では代用できないのでしょうか。
日本においては上場企業だけでなく、多くの企業がPマークの取得や個人情報保護法への対応を積極的に行っておりますが、これらがGDPRの代わりと認定されるようになれば、GDPR違反による制裁金の恐怖から逃れられるかもしれません。
今回のテーマは「GDPR、個人情報保護法、十分性認定」です。
- 【GDPRの日本企業への影響は?】欧州の法律でも制裁金の対象になる可能性
- 【GDPRは個人情報保護法で代用できる?】十分性認定へ期待高まる日本企業
日本の個人情報保護法はGDPRの代わりとなるか?
個人情報保護法はGDPRの代わりとならない
日本でも個人情報の漏洩が散見され、時に社会問題となるほど個人情報の保護についての意識は強まりました。
そして多くの企業がPマークの取得など、個人情報保護法への対応を進めてきた背景があります。
しかし今回のGDPRにおいては、本記事が公開された2018年7月の時点では、日本の個人情報保護法はGDPRの代わりとはなりません。
万一GDPR違反として指摘を受けてしまった際には、巨額の制裁金が課せらてしまう状態にあると言えます。
欧州委員会から十分性認定を受けることができれば代替可能
日本の個人情報保護法をGDPRの代わりとして認定するかしないかは欧州委員会次第です。
現在も日本の個人情報保護委員会等を軸に、EEA域内の各監督当局との交渉が行われています。
まずは日本が個人情報保護法としてどこまで対応できているのかを、欧州委員会に理解してもらう必要があります。
そして、その要件をもとにGDPRの要求水準を満たしているかどうか審査され、問題がないと判断されれば「十分性認定」と呼ばれる認定が受けられます。
GDPRにおける欧州委員会からの「十分性認定」とは?
「十分性認定」とは各国のデータ保護施策がEUと同等水準であると認定されること
「十分性認定」とは、EEA域外国であっても欧州委員会がデータ保護に関する施策がEUと同等水準であると認めたケースを意味します。
各国の同等の法律、日本で言えば個人情報保護法が代表的な法律ですが、これがGDPRを代替する法律として認められれば、データ移転の許可などが包括的に行われ、日本の各企業の負担も軽減されそうです。
GDPRについて知らない企業が多い日本でも、個人情報保護法については多くの企業で遵守されている現在、「十分性認定」を受けられることで多くの対応や手続きが免除される可能性があり、そうなれば日本の企業の不安もある程度払拭できそうです。
日本の個人情報保護法は「十分性認定」を受けられそうか?
GDPRとの要件の差は大きいが正に交渉中
問題点としては、日本の個人情報保護法とGDPRでは保護されるべき対象やデータに大きな差があり、正にここが議論となっています。
日本の個人情報保護法の内容をGDPRに寄せて変える可能性も無くはないと思いますが、それは日本にとって大変大掛かりなものとなってしまいます。
日本としては願わくば、欧州委員会側が日本の個人情報保護法との差を認識しつつも、日本の現行法を変えることなくGDPRを代替する法律として認定して欲しいところです。
さて一体どちらが歩み寄るのかというところですが、可能性としては日本の個人情報保護法の要件に対して、GDPR対応用の要件がいくつか上乗せされることも考えられているようです。
もしそうなった場合、個人情報保護法を遵守しつつ、プラスアルファで不足している対応を追加し、GDPRの基準をクリアしていくことになります。
「十分性認定」には個人データ越境移転の許可も含まれる
十分性の認定には「個人データ越境移転の許可」というもうひとつの目的も含まれています。
GDPRでは対象となる個人データを十分な保護が行われていない地域に移転されることを許可していません。
それは個人情報が保存されているサーバーも同様で、クラウド化が進んでいる現在においても、個人データは同領域内でしか保存できない制約が出てしまいます。
そこで「十分性認定」を受けることで、GDPRの対象となるEEA域内から、十分性認定を受けたEEA域外へのデータの越境・移転が可能となります。
「十分性認定」は2018年の夏を目指して交渉中
欧州委員会との交渉はすでに最終段階にあるようで、目標としては2018年の夏を目指して交渉を進めているという話も出ています。
交渉の結果次第となりますが、個人情報保護法がGDPRの「十分性認定」を受けられるのか、プラスアルファの対応が必要なのか、認定を受けられないのか、などがハッキリしてくるでしょう。
結果が出た頃に記事の続編を公開したいと思います。
GDPRの対応を検討したいがどこに相談すればよい?
自力でGDPR対応も可能だが対応スピードと網羅性に難あり
現在、自社内に個人情報保護の担当者がいる場合や、プライバシーマークなどを取得されている企業でしたら比較的自力でもGDPRに対応しやすいと思われますが、GDPR対応には日本の個人情報保護法とは異なる点もあり、先述の通り制裁金も非常に高額なので、少しでも不安を感じた際には専門家からのアドバイスを受けながら対応を進めることをオススメいたします。
自社内に知識を持った人員がいない場合などは、試行錯誤の多発頻発や、情報の網羅的把握に多くの時間を取られてしまうため、計画段階から専門家からの支援やアドバイスを受けることで、無駄なく短期間でGDPR対応ができるようになります。
GDPR対応の専門家を選ぶ際に意識したいポイント
取り扱うデータの種類やデータ量、各企業の状況によって構築が必要な体制が異なることから、自社の状況をしっかりとヒアリングして理解し、最適なプランを提案してくれる専門家を選びましょう。
また、GDPR対応の過程では、個人データの取り扱いを含めた新たな業務プロセスを設計していく必要が出てきますので、現行の業務進行に支障をきたさないように配慮が必要になります。
管理・監視体制を構築する段階で、費用対効果も念頭に置いた形で計画・推進をしてくれる専門家を選ぶことで「業務負荷がかかりすぎて、通常の業務が回らなくなってしまった」といった失敗が防げるでしょう。
最後に、GDPRの対応実績を有する専門家を選ぶことも忘れてはならないポイントですね。
【まとめ】日本企業が意識しておくべきポイント
- 個人情報保護法はGDPRの代わりとならない(2018年6月時点)
- 欧州委員会から「十分性認定」を受けられると代わりになる可能性
- 認定を受けるための交渉が今も行われている
- 2018年8月頃に結論が出る予定
- 十分性認定を受けても追加要件が加わる可能性もある
- 【GDPRの日本企業への影響は?】欧州の法律でも制裁金の対象になる可能性
- 【GDPRは個人情報保護法で代用できる?】十分性認定へ期待高まる日本企業
GDPRの専門家「三菱UFJリサーチ&コンサルティング様」
三菱UFJリサーチ&コンサルティング様は、MUFGグループの一員として海外に幅広いネットワークを保有し、GDPRの最新の動向を常にモニターできる体制を構築されています。理想論のあるべき体制の構築だけではなく、日系企業の現状と、GDPRが求める要求の差分を究明することで、最小限の対応で解決できる道筋をご提示することを心がけている企業様です。
三菱UFJリサーチ&コンサルティング 業務ICTコンサルティング部
シニアマネージャー 河合 一憲
問い合わせ先(Email):info-security@murc.jp
【無料資料ダウンロード】GDPR対応状況 フローチャート型簡易診断