社内SEのより良い生活研究日誌

キャリア、転職、自己PR、生活、コレを読めばちょっとだけ見えない差を付けることが出来ます

GDPRセミナーいってきた!五分でわかる日本の製造業がやるべきこと

今、日本の社内SE業界では、GDPRというキーワードが飛び交っています!これって超重要なモノなのに、調べれば調べるほど何をすれば良いのかわからない。

EU Flagga

 

ネットで調べても教科書通りの解説だったり、SCCだのBCRだの訳の分からない専門用語がでてきたりと、どっかに解りやすい概要解説はないのか?!というフラストレーションがたまっておりました。

 

そこで今回はそんなGDPRの解説セミナーを受講しましたので、「日本一解りやすいGDPR解説」を目指してがんばります!

ちなみにセミナーは超難しいことを、難しく解説されて終了しました。トホホ・・・お金払ったのになぁ…。

 

 

そもそもGDPRってなんだっけ?

念のため、そもそもGDPRって何?っていうのを書きますね。

 

GDPRは(General Data Protection Reguration)の略で、EUが作成した個人情報保護ルールです。そしてこのルールが適用されたのが、2018年5月25日になります。

 

ざっくりまとめると、ありとあらゆる「EUで活動する人」「個人情報を保護」しよう。「個人」が「個人のデータ」「自由にコントロール」できるようにしようというルールです。

 

GDPR用語ざっくり解説

ここで、「」で囲った用語をざっくり解説

「EUで活動する人」・・・EU圏内の国の国民はもちろん、日本企業からEU圏内に出向(つまり駐在)している人、日本企業がEU圏内で雇用している人も含みます。

 

「個人情報を保護」・・・氏名、メールアドレス、住所、クレジットカード番号などの

個人を「特定」しうるありとあらゆるデータを保護しよう。

 

「個人」・・・上記の「EUで活動する人」=自然人(法人ではなない)をさす。

なんでこんな(GDPR)規則をEUは作ったの?

これは、EUがアメリカの巨大インターネット企業である、Google、フェースブック等に対抗するためと言われています。

 

今、Google、Facebook、Twitter等のSNS企業が、ありとあらゆる個人情報を集めて、トラッキングして、マーケティング等に使っています。

これらの企業って全部アメリカの企業なんですよね。

 

だからEUの国民の情報を、アメリカの大企業が抱えているのはけしからん!EUとしてルールを作って、アメリカの好き勝手に個人情報を使わせないぞ!というために作ったルールなのです。

 

だから内容は第1章1条から第11章99条まで細かく設定してあり、いつでもアメリカの大企業にいちゃもんつけられるようにしてあるのです。

だから分かりにくい・・・。

 

なんで日本で注目されてるの?日本関係ないじゃん?

GDPRを読み解くと結局のところ日本企業に大きな影響があるのです。それが以下2点。

その中には「勝手に」データを「EU外に持ち出すな」という決まりも含まれます

(=GDPRの域外適用)。

 

たとえば、日本企業が持つEUのお客様データを、日本のサーバで管理してはいけないと解釈できる規則も含まれています。

 

1)日本企業がEUの顧客情報を持つことは、「現時点では」原則禁止されている。

(GDPRの域外適用)

 

2)GDPRに違反した場合は、最大で2000万ユーロまたは売上高の4%のいずれか高い金額の制裁金が課される

 

えっヤバいじゃん!ってみんななっているんですよ!でも2018年5月25日に適用されたこのルールを遵守できているかというと、2018年6月時点で、EUの大企業でも70%、日本の大企業では90%以上が対応出来ていません。

 

ただし、コレもいきなり制裁金というパターンはほとんどなく、監督当局からの業務改善命令等をへて、制裁金というパターンが多いようです。

ただし、個人情報を使用して、企業が利益を上げている場合は厳しくとられる傾向があるようです。

 

GDPRの域外適用(GDPR第3条)の超ざっくりポイント

ココで日本企業がGDPRに注目している大きな理由である、「域外適用」について超ざっくり解説したいと思います。

 

域外適用については、GDPRの第3条に定義されております。

 

3条−2:本規則は以下の取り扱い行為に関連する場合、EU内で設立されていない管理者または取扱者による、EU内にいるデータ主体の個人データの取り扱いに適用される。

 

1)データ主体に支払い要求されるか否かに関わらず、EU内の当該データ主体にたいして、商品、サービスを提供する場合

 

2)EU内でその活動が行われる限りにおいて、彼らの活動を監視する場合。

 

超ざっくりいうと、EU内のデータ主体(個人)に対して、サービスを提供すれば、GDPRの規則を守ってくださいよ! ということです。

 

つまり、繰り返しになりますけど、EU外の日本もEUで活動する個人のデータを扱う場合には適用されます。

 

そして、ータをEU外の日本を含む第三国に持ち出すことをGDPRは制限しています。

それを次ぎに書きます。

 

 

GDPRの第三国移転制限(GDPR第5章第44条、45条〜)

GDPR第44条には

「個人データの第三国または国際機関への移転は、第5章に定める条件が「管理者」「処理者」によって遵守されている場合に限り行われるものとする。

 

ざっくりいうと、GDPRに定める条件を満たしたら、個人データを移転していいよ

ということです。

 

ん?ここで「管理者」と「処理者」という単語がでてきましたね。

管理者と処理者については、GDPR第4条で以下のように定義されています。

 

管理者・・・単独または他者と共同で。個人データの取り扱いの目的および手段をを決定する自然人、法人、公的機関その他の団体(GDPR第4条7項)

 

処理者・・・管理者のために、個人情報を処理する自然人、法人、公的機関その他の団体(GDPR第4条8項)

 

簡単にいえば、

管理者は、「個人情報データ」の取り扱いの責任者

処理者は管理者の元で個人情報を処理する人です。

 

たとえば、ドイツの顧客情報を管理するのは、日本企業のドイツ子会社(管理者)で、

顧客情報をシステムにインプットする中国のオフショアパートナー(処理者)ということです。

中国のパートナーが日本においてあるサーバにインプットしている場合はそのサーバを管理する日本本社も、処理者という扱いになります。

 

ここで話を戻して、「5章で定める遵守すべき条件」とは何でしょうか?それを以下で詳しくざっくりと解説します。

 

結局GDPRに従うと、データ移転で何をすれば良いのか?

データをEU外に移転させるには、3つの方法があります。

1)SCC(Standard Contractual Clauses) 標準的契約条項

2)BCR (Binding Corporate Rules)拘束的企業準則

3)十分性の決定

それぞれ何ぞやということと、メリットでメリットをざっくりと解説します。

1)SCC (標準的契約条項)のメリデメ

SCCは、提供元と提要先の企業間で、EUが定めた雛形に基づいて契約してくださいよということです。

たとえば、EUの子会社と日本の本社でSCCを結べば、EUの子会社の顧客情報を日本の本社サーバルームで管理することが可能です。

ーメリット

 後述のBCRと比較すると、企業間の契約書を、雛形に沿って結べば良いので、簡単

ーデメリット

 すべての関連企業と個別に契約を結ぶ必要があるので、契約管理の手間がかかる。

詳しいフォーマット等は、EUのサイトをみてもいいのですが、より解りやすく「日本語」で解説してあり、JETROのリンクを張っておきます。

標準的契約条項(Standard contractual clauses:SCC)(欧州委員会資料の仮訳)(2018年3月) | 調査レポート - 国・地域別に見る - ジェトロ

 

2)BCR (Binding Corporate Rules)拘束的企業準則のメリデメ

BCRは「企業グループ」として、欧州委員に、データ保護についてお墨付きをもらうという物です。

つまり認定を受けた「企業グループ」間であれば、個別の契約なしにデータ移転可能です。なのでA社グループとして認定を受ければ、個別契約なくてもEU子会社の情報を、日本本社で管理することが可能です。

※ただし、BCRを取得しても、企業グループ外の個人情報を扱う場合には、SCCによる個別契約が必要です。

−メリット

 一度認定をうければ、その企業グループ間では個別契約が不要

−デメリット

 企業グループとしてEUに認定を受けるため、約18ヶ月程度の時間と、証明をするための時間、金がかかる。

BCRについては日本企業では楽天が取得しています。

楽天株式会社: 拘束的企業準則(BCR)|プライバシーセンター

 

3)十分性決定にもとづく移転

コレは一番簡単で、欧州委員会が各国単位で、「十分なレベル」の保護措置を確保できていると決定した場合に、データ移転が出来るという物です。

日本は2018年6月現在、十分性の決定を受けていませんので、上記の2つのどちらかの対応が原則必要です. 

ただし、セミナー講師によれば、以下リンク先で、欧州委員と、日本の個人情報保護委員会が話を進めているので、2018年後半期から2019年前半には、十分性の決定を受ける見込みとのことでした。 

欧州委員会委員との会談(平成30年5月)

 

参考リンクとまとめ

日本企業の、対応ガイドラインは、以下の2つのリンク先が大変役に立ちます。

当ページで概要を理解した上で、以下を参照すると理解が深まりますよ!

「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月) | 調査レポート - 国・地域別に見る - ジェトロ

個人情報保護委員会

お役に立ったでしょうか?GDPR対応、面倒ですががんばりましょう!