こんにちは。Mr.Jです。
皆さんは欧州連合(EU)のGDPR(一般データ保護規則)
というのをお聞きしたことはありますでしょうか?
「個人データの保護に対する権利という基本的人権の保護」のようですが、
私も最近Google,KickStarterなど利用しているサービスから
GDPRに絡み、プライバシーポリシーを再度確認させられるため
気になり概要を調べてみました。

欧州経済領域EAA(EU加盟国にノルウェー、アイスランド、
リヒテンシュタインを含める)から個人データを持ち出す場合に
守らなければいけない法律です。
しかも、今年の2018年5月25日より施行されます。
簡単に言うと「個人データ」の「処理」と「移転」に関する法律
ということです。
個人情報元の「データ主体」、個人データの処理目的と手段を決定する
「管理者」、管理者を代行し、個人データの処理を行う「処理者」に
分かれて考えられるよう。
で、なんか良く分かりにくいですが要は
「EEA内の個人データを持ち出すときは、ちゃんとGDPRに沿った
方法で行わないとアウトだよ」ってことみたいです。
かなり関係があります!

例えば、ECサイトを運用していてEUの人が購入した場合に
個人情報を登録させることがあれば、その時点で関わってきます。
EU内に事業拠点が無くても、関係ないんです!
アクセスできて、取得できてしまえば域外に持ち出すという
ことになってしまうのですね。。こわ。。
しかも企業であれば特にきにする点が
「罰則の強化」です。
GDPRの法律を破って、個人データを取得していたことが
監督当局にバレてしまった場合、
「義務があるのにEU代表者を選任しない場合」や
「責任に基づいて処理行為の記録を保持しない場合」は、
企業の全世界年間売上高の2%以下、または1000万ユーロ以下の
いずれか高い方が適用される場合あり。
さらに、
「適法に個人データを処理しなかった場合」や
「個人データ移転の条件に従わなかった場合」などは、
企業の全世界年間売上高の4%以下、または2000万ユーロ以下の
いずれか高い方をということです。。
2000万ユーロって、26億円とかですね、、ひえ〜〜

しかもPwC調べによると昨年の時点で、
GDPR対応を完了させた日本企業は2%ほど見たいですね。
対応にはかなり労力がかかるようです。
GDPRには下記の対応を行わないといけないよう。
安倍さんが頑張って十分性認定に動いているようですが。。
「BCR(Binding Corporate Rules:拘束的企業準則)」
または、
「SDPC:Standard Data Protection Clause:標準契約)」
です。
BCRとは、グローバルでのグループ会社間での個人データのやり取りを
行うために、社内でしっかり守りますよーということを示したものを
整備し、作って監督当局に承認してもらうものです。
一方で、SDPCは個別の契約のようなイメージで、
企業間で個別でフォーマットに乗っ取り契約を締結し
個人データをやり取りするようなものでしょうか。
どちらを使うかは、コストや現実性などを考慮する必要がありますが
BCRは準備期間も1年以上は必要なようで、コストもかかるため
SDPCにて取り急ぎの対応を進める企業も多そうですね。

やはり個人情報への「同意」というのがポイントで
透明性をあげて、同意をさせているということを
明確にしなければなりません。
他にもFacebook,AmazonなどもGDPRと併せて検索されるとわかりますが
GDPR対応進めてますよっていうページはちゃんとありますね。
日本の大企業も含め、今後は避けては通れないものになりそうです。

お勤めの方は、ぜひ気にされた方が良いかもしれません。