EU一般データ保護規則(GDPR)について

EU一般データ保護規則(GDPR)について

ロックが何か調べ物をしている。
どうやら先程のクライアントに何か訊かれたらしい。

すみません
ちょっと質問いいですか?

avatar

ロック

avatar

所長代理

大丈夫ですよ
何か難しい質問でもありましたか?

実はEU一般データ保護規則(GDPR)について質問されてしまいました
海外のことなので何ともわからないことが多くて
洋犬だから訊かれたのかもしれません(苦笑)
調べてみると新聞にも載っていますし何やら大ごとなのでしょうか?

avatar

ロック

avatar

所長代理

2018年5月25日に発効するといわれているアレだね
EUの個人情報保護の新しい枠組みと言われていて
個人情報保護がこれまでより一層厳しいものになる予定だよ

avatar

所長代理

域内でも結構温度差があるから発効しないのではと
予想していた人も多かったけど いよいよスタートだね
この間鬼の法務部でもちょっと触れておいたよ

そうなんですか
今回も先延ばしにされるとか・・・

avatar

ロック

avatar

所長代理

さすがにないと思うよ
フェイスブックをはじめとして結構あちこち個人情報を漏洩しているから
ナチスの検閲で痛い目を見ているEUだけにここは発効させるでしょう

歴史ですね
それでこの規則はどんな内容なんですか?

avatar

ロック

avatar

所長代理

GDPRは個人情報の処理やそれを欧州経済領域(European Economic Area:EEA(EU加盟国28ヶ国+アイスランド、リヒテンシュタイン、ノルウェー) から第三国に移転するために満たすべき法的要件を規定しているんだよ

avatar

所長代理

原則移転等は禁止で十分に個人情報を保護できる国以外の国のみ移転が可能とされているのだけれど
平成30年5月の時点で日本は移転可能国に入っていないようだね

じゃあ日本には個人情報を移転できないんですか?
旅行会社とかスマホアプリの事業者とかが困りそうですよね

avatar

ロック

avatar

所長代理

困ると思うよ
違反すると大きな制裁金が待っているし
2,000万ユーロ以下、または事業者の場合には前会計年度の全世界年間売上高の4%以下のいずれか高い方になるようだね

この間のフェイスブックの事件みたいな感じになるんですね

avatar

ロック

avatar

所長代理

そう ああなります
EUの居住者がサービスを利用可能だと
対応しないと制裁という可能性があるので
対象企業はきちんと対応する必要があるだろうね

では制裁を回避するためには何をしないといけないでしょうか

avatar

ロック

avatar

所長代理

プライバシー影響評価と対策
クッキーでも情報収集時に同意を取得する
同意後のオプトアウトに応じる
個人情報についての取扱や管理者を公表する
流出などの情報侵害には72時間以内にEUの当局に報告
この辺りはマストだね

あれ?
この間作成したPマークの規程類に近いですね

avatar

ロック

avatar

所長代理

そうだね かなり近いと思う
でもPマークを取っていれば必ずしも
大丈夫というわけではない可能性もあってね
その辺まだ情報が足りないんだ

ではどうしたら?

avatar

ロック

avatar

所長代理

適切な保護措置として行動規範、認証制度、標準契約条項(SCC:Standard Contractual Clauses)、または拘束的企業準則(BCR:Binding Corporate Rules)などがあれば間違いないけど中小企業には厳しい印象だね

何か大掛かりで大変そうですね

avatar

ロック

avatar

所長代理

実際大変だと思うよ
中小企業だとPMSを構築して動きを見るしかなさそうだね
日本が早く第三国扱いを脱してくれればいいんだけど
逆にそのレベルになるとGDPRに関係のない企業が大変になりそうだし 難しいところだね

東京経営法務研究所へのお問合せはこちらから

情報カテゴリの最新記事

契約書・社内規程の作成等、法務のことなら東京経営法務研究所 お電話はこちら!
テキストのコピーはできません。