EU一般データ保護規則(GDPR)の適用範囲について
はじめに
EU一般データ保護規則(GDPR)への対応が迫る中で、最初に問題になるのは「ウチは適用範囲に入るのか?」といったことだと思います。
EEA域内に拠点があり、サービス提供しているような分かりやすい組織はGDPR適用に向けて対応を進めればいいのですが、「EEA域内に拠点も無いし、明確にサービス提供や監視などしていないけれども、ガイドラインとか見るとちょっと対応しなければならないかもしれない。。」というような組織も多いかと思います。今回はそのような組織に対して、とりあえずやっておくべき共通事項について解説したいと思います。
GDPR対応の全体フロー
GDPR適用について範囲内に入るか判断に迷う場合でも、個人データ洗い出しなどの事前調査はやっておく必要があります。これはGDPRの適用範囲に入る場合でも入らない場合でも、判断の根拠が必要になるためです。
事前調査結果を踏まえた上で、適用範囲の最終確認とその後の対応を進めましょう。
GDPR対応に向けてのサンプルフロー
まずは情報収集から始めよう
GDPRとは何なのか?適用範囲はどのようなものなのか?まずは情報収集から始めますが、なかなか分かりやすくまとまった日本語での情報は少ないのが現状です。(英語ならばイロイロとありますが。。)
基本はGDPR本文と第29条作業部会(Article 29 Working Party)が作成している各種ガイドラインになりますが、全体の概要や日本ではどのような対応が必要なのかなどの情報が知りたい場合には、他の情報も参考にしながら理解していくと良いかと思います。情報収集の種類には以下のようなものがあります。
情報収集のサンプル(個人的主観)
情報収集の種類 | メリット | デメリット | おすすめ度 |
---|---|---|---|
WEB | ・最新情報を入手できる | ・最新情報は英語が中心 | ◎ |
SNS | ・さまざまな識者の意見を参考にできる | ・フェイク情報も存在する | ◎ |
新聞 | ・正確性とスピードのバランスが取れている | ・情報が少ない | ○ |
TV | ・わかりやすさを重視している | ・情報に偏りがある場合がある | ○ |
雑誌 | ・概要を理解できる | ・詳細の理解が難しい | ○ |
書籍 | ・体系的に理解できる | ・数が少なく解釈の変更の可能性がある | ○ |
セミナー | ・自分のレベルに合わせて参加できる | ・有償セミナーでもわかりづらいものがある | ○ |
人脈 | ・個人的な質問もできる | ・解釈が間違っていたりする場合もある | ○ |
個人データの洗い出しをやっておこう
GDPRの概要がつかめたところで、次は自組織でEEA域内の個人データ取り扱い業務があるのかないのか、個人データの洗い出しを行います。やり方はイロイロとありますが、例えばEEA域内の個人データ取り扱い業務があるのか関係各所に質問票を送付し、必要に応じてフォローアップインタビューを行った上で、管理簿などを使った全体の概要把握を行うなどのやり方があります。
EEA域内個人データ取り扱いにかかる質問票(サンプル)
- EEA域内の個人データ取り扱い業務がありますか?
- EEA域内の個人データを域外(日本など)に移転することがありますか?
- EEA域内の個人データをクラウドサービスなどで取り扱いますか?
- EEA域内に対して個人データを取り扱うサービス提供などありますか?
- ---
質問票をベースにした個人データ洗い出し管理簿(サンプル)
GDPR適用範囲の確認をやっておこう
洗い出した個人データに対して、GDPR適用範囲に入るか確認を行います。
適用範囲に入るか判断が難しい場合は、洗い出した個人データをもとに、プライバシー法もしくは国際法に詳しい弁護士などに相談するという手もあります。
また、EEA域内の個人データ取り扱い業務そのものを見直し、必要最小限の取り扱いにする(もしくは持たないようにする)、コントロールの主体を現地にシフトする、義務や提供サービスをアウトソーシングするなども考慮したほうが良いかと思います。
参考文献
-
・JJETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
・JJETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
・JJETRO「データ保護影響評価(DPIA)の実施に関するガイドライン(仮訳)」
・JJETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)- ◦データ保護責任者
◦データポータビリティの権利
◦管理者および処理者の主導監督当局の特定
- ◦データ保護責任者
- ・JIPDEC「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」
https://www.jipdec.or.jp/library/archives/gdpr.html - ・EU一般データ保護規則(General Data Protection Regulation:GDPR)
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC
Writer Profile
セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治
Tweet