Brexit 前のおさらい『GDPR』とはそもそも何か

2020年11月1日

新型コロナウィルスにより、依然様々な事項の先行きが不透明となっている一方で、英国では、欧州連合離脱の移行期間終了日が近づいております。
自由貿易協定を含み、着目すべき点は多岐に渡りますが、その中でも、英国の欧州連合離脱後、EU一般データ保護規則 (General Data Protection Regulation; 通称GDPR)がどのような形で英国に存在することとなるのか、また、欧州連合と英国との個人データの移転にどのような影響がもたらされるのか、という点は、多くの企業からの関心を集めている内容と言えます。

上記を鑑み、本日は改めて、現行欧州の規則として施行されているGDPRについて、その着目点をご案内致します。
皆様にとって少しでも有益な情報となれば幸いです。

GDPRは欧州連合レベルでのデータ保護法であり、日本の個人データ保護法に相当いたします。 2016 年 5 月 4 日に EU 官報に掲載され、5月 24 日より法律として効力を有していますが、行政罰を伴う適用開始は 2018 年 5 月 25 日となっています。

◆規制概要
規制項目は大別すると、取得、処理、域外移転の 3 点になります。

・取得
データ取得者たる企業は、データ主体 (個人)に取得目的、第三者への開示有無、データ主体の権利等を分かり易く説明し、明確な方法で同意を得、かつ同意を撤回できるようにしておかなければならない等、個人データ取得の為の処理手順の確立が必要になります。

・処理
取得した個人データを安全かつ正しく処理する為の仕組みの構築に加え、従業員数が 250 名を超える企業や、センシティブデータ(信仰や政治信条等のデータ及び、刑事有罪判決、犯罪行為に関するデータ)を処理する場合には、データ処理の履歴を記録することが求められています。また、データポータビリティの権利や削除権(忘れられる権利)、DPIA(データ保護影響評価)への対応等も必要になります。これに加え、大量の個人データを定期的かつ体系的に処理する場合には、DPO(Data Protection Officer / データ保護責任者)の配置も必要です。

・域外移転
EEA (European Economic Area)域内から EEA 域外への個人データの移転については、原則禁止されています。しかしながら、EC (European Commission / 欧州委員会)が個人データ保護についての十分性認定 (Adequacy Decision) を行った国々についてはデータ管理者または処理者への移転が認められており、日本・欧州連合間では2019年1月23日に発効しています。

◆違反時の過料
違反時の過料は以下のとおり規定されています。
・1,000 万ユーロ、または、前会計期間の全世界の売上高の 2%のうち、いずれか高い方の過料
・2,000 万ユーロ、または、前会計期間の全世界の売上高の 4%のうち、いずれか高い方の過料

◆対策
上記の規制概要、過料を鑑み、法務、組織、ITの各観点において、十分な対策の実施が必要となります。
ITに関しては、特にデータの管理、セキュリティレベル向上の観点での対策検討が必要です。

弊社ではGDPR対策のホワイトペーパーを発行致しております。こちらにて、より詳細な規制内容の説明、ITの観点での着目点、推奨サービスについて記載を致しておりますので、ぜひご確認いただけますと幸いです。

GDPRホワイトペーパー発行のお知らせ

尚、英国では欧州連合離脱移行期間中、欧州連合が日本に対して行った十分性認定の効力が維持されています。また、移行期間終了後についても、十分性認定を継続させる関連法令の手続きを完了しており、移行期間終了後も日英間の円滑な個人データ移転が可能になります。

サービスに対するご質問等ございましたらお気軽にお問合せ下さい。
引き続き、ご愛顧賜りますようお願い申し上げます。

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
Newton Information Technology Ltd.
166 College Road, Harrow, Middlesex HA1 1BH
Tel: +44 (0)20 8782 1920
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/