Q 欧州でのGDPRという新しい個人情報の保護規制によって、英語圏向けのWebサイトを立ち上げた場合、どういった対応策が必要なのでしょうか。

A この規制によって、Webサイトで欧州連合（EU）を含む欧州経済領域（EEA）域内の消費者に商品やサービスを提供する場合や、欧州からの受注や現地企業との取引、欧州での現地生産に適用されますので、社内の対応体制の整備をはじめ社内のポリシーおよび規程の整備、個人データの処理、取り扱いに関する文書化などの対応が必要とされます。

GDPR対応の進め方

1．計画段階 ①対応体制の整備……法務、総務、ITに関するスタッフ、事業部門など関係先に参加を求め、今後の対応に必要な体制を整備します。

②個人データ取り扱い状況の棚卸し調査……個人データの棚卸しを行い、どこにどのような形でどれだけのデータが保管されているか、処理の記録、移転の有無の状況を整理します。

③対応方針の決定……対応できているレベルが分かれば、今後の作業として、何を優先して対応すべきかが見えてきます。満たしていない点についてはその対策を取ること、また満たしていることは当局への説明もできるよう準備しておきます。

2．実行段階

①社内のポリシーおよび規程の整備……個人情報保護規程、プライバシーポリシーは、GDPRに準拠した形式で準備します。

②個人データの取得にあたっての同意文書の更新……個人データの取得、利用には、事前に本人の承諾が必要です。GDPR適用範囲となる個人データについての同意取得に関してルールや手順を見直します。

③個人データの処理、取り扱いに関する文書化……棚卸し結果や今後の個人データの処理にあたって記録の整備を進めます。管理者情報、処理の目的、データの種類、データ主体（個人、提供者）の種類、域外の移転先などについても一覧で分かりやすくまとめておきます。

④セキュリティ対策……個人データの漏えいを防ぐための対策は、重要なポイントです。リスクを想定し、そのレベルに応じた対策を検討します。

⑤データ侵害発生時の対応マニュアルや連絡体制の整備……データ侵害が発生した際は、監督当局へ72時間以内に報告する要件があります。慌てることのないよう、個人データの漏えいなど、事故が発生した際の対応手順、連絡や報告ルート、エスカレーションの判断基準を取り決めて文書化します。体制も明確でなければなりません。

⑥処理の委託先との契約締結……Webサイトの運用を外部に委託する場合には、委託先に適切な管理を行わせる義務があります。個人データの取り扱いについて、自社と同等なレベルを維持できるよう委託契約を交わします。

⑦代理人の選定……EEA域内に拠点がない場合、個人データの取り扱い内容次第では、監督機関やデータ主体への窓口になる「代理人」が必要になる場合があります。一定の規模で継続的に個人データを取り扱う場合は必要とみなされる可能性が高いとされています。

3．運用段階

①ルールに則った運用の実施……日々の個人データの処理や移転に関わる取り扱いは、一連の文書化されたルールに基づいて運用されていなければなりません。運用に携わる関係者には教育や研修なども必要に応じて実施し、徹底を図ります。

②点検および評価・改善の実施……ルールに従って適正に運用されているかどうかは、定期的に点検や監査を実施して評価します。不備があれば改善しなければなりません。実施した内容は記録を残し、自社における個人データの扱いが適切に実施できていることを説明できるようにしておきます。

以上のようなポイントを踏まえた対応が必要とされます。 （中小企業診断士・竹内 敏則）

お問い合わせ

会社：Supported by 第一法規株式会社

住所：東京都港区南青山2-11-17

電話：03-3796-5421

HP：https://www.daiichihoki.co.jp/netqa/