EU一般データ保護規則 (GDPR)の遵守の具体的方法、違反した場合、2000万ユーロの課徴金?日本企業にも適用?
EU一般データ保護規則 (General Data Protection Regulation)
EU一般データ保護規則 (General Data Protection Regulation)とは?
GDPRと最近よく聞きます。
15年以上、ヨーロッパ進出支援をしています。ヨーロッパでの法人登記、特許、商標の出願、訴訟などを手がけてきております。ヨーロッパは、その個別の国の法令と、EU圏を包括する規則があるので、注意が必要です。
今回は、読者から多数の質問を頂きましたGDPRについてご説明差し上げます。
2018年5月25日EU一般データ保護規則 (General Data Protection Regulation、通称GDPR)が発効しました。
この規則は、データ保護をEU全体で統一化し、個人情報・プライバシーの権利を強化し、不正利用に対し、強力な執行力と罰則を与えるために作られました。
個人情報をいかに広範囲に収集し、それをお金儲けにつなげるかがキーになってきた感があります。Facebookをはじめ世界を席巻するGAFAは、これらに長けているところが勝因といえるでしょう。個人情報意識の特に高い欧州では、どのように個人情報を守れるかの議論が長年行われていたのです。この議論が具現化したものがGDPRと言えるでしょう。
GDPRは誰に適用される?日本の企業にも適用される?
GDPRの適用範囲は極めて広範です。
日本にしか拠点がないから大丈夫?日本でしか商売してないから大丈夫と思われた方、実は御社も対象になっているかもしれません。
というのは、提供する製品やサービスがEU市場に向けられている、及び/又はEUに住んでいる個人情報を収集する場合、GDPRは、EU圏内にある企業だけでなく、日本にある企業にも適用されます。
例えば、御社が、欧州に拠点を持たずとも、ドイツなどEU諸国へ製品を供給していれば適用されます。
また、海外からの訪問が多いサイトを運営している場合(特に、予約時に個人情報を収集する日本の旅行サイト、宿泊施設など)など、欧州で事業はなくても欧州に住む人間の情報を集めた場合は、適用されるのです。
GDPRを遵守するには以下の具体的アクションが必要です。
- 御社の個人情報指針を見直し、GDPRに沿ったものへ修正
- 御社の同意指針を見直し、GDPRに沿ったものへ修正し、そして、これまで収集した個人情報について、再度、同意を求める
- 社内で、データ保護について責任者又はデータ保護担当者(DPO, Data Protection Officer)を任命する
- 収集した個人情報について、アクセスし、修正し、削除できるようにする
- 個人情報について、偶発的、違法、権限のない削除、紛失、変更、開示がないようセキュリティレベルを構築
- データが流出した場合、担当の当局に、遅滞なく通知(可能であれば、当該流出について分かった72時間以内)
これらは、ほんの一例です。すべての会社に同じように適用されるわけではありません。
罰則は?2000万ユーロ?
GDPRを遵守に違反した場合の罰則はなんでしょうか?初めての違反や意図せず違反してしまった場合は、GDPRは、それほど厳しく処罰はしません。警告書やデータ保護の状態チェックの査察が入る程度です。
但し、何度も違反した場合や世界的企業の場合の罰則は深刻です。最悪の場合、違反した場合、2000万ユーロ以下又は全世界の4%のどちらか大きい方の課徴金となります。
2000万ユーロは25億円(2018年現在)ほどですので、ちょっとした会社が簡単に吹き飛ぶ金額です。
GDPR対応のご相談、EU圏市場進出のお問い合わせは
できるだけ具体的にご記述ください。また返答に時間がかかる場合や、返答できかねる場合もございますので、ご了承ください。
Write a comment