GDPRが2018年5月25日に施行開始！

GDPRが2018年5月25日に施行開始！

ところで GDPR(EUの一般データ保護規則)ってなに？とお困りのあなたに

   EU域内の個人データ保護を規定する法として、2016年4月に制定された「GDPR（General Data Protection Regulation：一般データ保護規則）」が2018年5月25日に施行されました。2000万ユーロ(約25億6千万円)または年間売上4%という莫大な制裁金を課され、これはEU域外の事業者へも適用されます。また、EU域内から域外へ個人データを移転する条件を満たすに足る個人データ保護を保障している国・地域は2017年9月現在、アルゼンチンやカナダ、ニュージーランドなど12箇所のみで、日本はその中に含まれていません。日本の個人情報保護委員会と欧州委員会は、日EU間の個人データ移転について会合を重ね、解決策を話し合って来たようですが、施行開始の2018年5月25日までには合意にいたりませんでした。
   データ移転についてクリアになるのかどうかは、今後の動向に要注目ですが、EUでビジネスを展開している方、または今後検討しているのであれば、個人データの取扱について、GDPRを遵守しなければならないことには変りありません。いろいろなニュースやJETROの資料も見たけれど、結局なにをどうすればいいの？とお困りではありませんか？扱う個人情報がEU域内で働く自社従業員や、EU域内のお客様へサービスを提供するために必要最低限の個人情報のみ、という中小企業なら、欧州委員会の「Seven steps for businesses to get ready for the General Data Protection Regulation GDPRに備える7つのステップ」(参照※1、図1)や英国の個人情報保護制度監督機関ICOの「Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now GDPRに備えて今すぐやるべき12ステップ」(参照※2、図2)をおすすめします。英語ですが、比較的平易な英文で記載されています。または、日本の個人情報保護委員会のGDPRページには欧州委員会Webサイト掲載資料の仮訳が掲載されています。こちらも「Infographic 中小企業向けの、簡単にまとめられたGDPR説明」からまず見ていただくとわかり易いと思います。(参照※3、図3)
   前述のICOの資料は「現行の個人情報保護法を守っていれば、そのほとんどはGDPRでも有効です。ただし、新しい要件と非常に強化された制限事項があります。この12ステップで確認していきましょう。」とうたい、12ステップがA4一枚でまとめられています。
   GDPRはオンライン上の個人情報保護ルールへの不信感の高まりを受け、制定・施行されます。個人情報をその個人がコントロールする自由を強化するという人権保護がメインテーマです。そのため、通知する企業側に「通知には平易な言葉を使う」ことも定めているようです。どおりで、英語の資料は読みやすくインフォグラフィックに落とし込んだものも多いと感じました。ひるがえって現状の日本語GDPR対応説明文書のわかりにくさに一抹の不安が。何ページものプライバシーポリシーを読むことを強要し承認を得えていたとしても、有効ではないとみなされる恐れもあるようです。6月1日の日経新聞では、日EU間の個人データの移転について5月31日、日本と欧州委員会が実質合意し、7月初旬までに日本側が、企業が新たに守るべき指針を定めることで、今秋にもデータを円滑に移転する枠組みが発効する見込み、と報じています。 (参照※4)

※1　GDPRに備える7つのステップ　欧州委員会
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
※2　GDPR今すぐやるべき12ステップ ICO
https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf
※3　個人情報保護委員会GDPR
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/
※4　個人データ相互移転合意　日本経済新聞
https://www.nikkei.com/article/DGKKZO31205640R30C18A5MM8000/