Q 当社は、製造業を営んでおり、今後は海外にも販路を開拓していきたいと考えています。まずは、海外向けのウェブサイトを立ち上げ、英語圏向けの情報発信から試みたいのですが、欧州ではGDPRという新しい個人情報の保護規制ができたと聞きました。どのような規制でどういった場合が規制対象なのでしょうか。
A 2018年5月25日より適用が始まったGDPRは、ウェブサイトで欧州連合(EU)を含む欧州経済領域(EEA)域内の消費者に商品やサービスを提供する場合にも、この規制を受けることが考えられます。欧州からの受注や現地企業との取り引き、欧州での現地生産となると、適用は確実で範囲も広がります。
GDPRとは
これまで欧州連合(EU)加盟国は自国の個人情報保護法があり、個人データの扱いは国ごとに異なっていましたが、「EU一般データ保護規則(General Data Protection Regulation:以下 「GDPR」という)」により個人データの処理と移転について共通のルールを定め、統一が図られました。欧州経済領域(EEA)域内での個人情報のやり取りを容易にしつつ厳格に保護することを定めていて、要求レベルは従来に比べて広く高いものとなっています。
欧州で得た個人情報は持ち出し禁止
GDPRが規制するのはEEA域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データの取り扱いで、欧州から日本など外国に持ち出すことを原則禁止しています。
欧州に出張し取引先と名刺交換した名刺データ、現地の事務所に駐在している社員のデータなども規制の対象になり、具体的には、こうした個人データをどのように収集し保管しているか(個人データの処理)、また域外から持ち出しや閲覧させていないか(個人データの移転)まで、拠点の事務所内およびサーバでの管理状態や取り扱いが規制されます。
また、違反に対する制裁も大変重い内容です。例えば、「GDPR要件を満たす技術的、組織的対策を実施しなかった」「入手した個人データについて処理の記録を保持していなかった」「適法に個人データを処理しなかった」「個人データの移転条件に従わなかった」場合、制裁金は最高で2000万ユーロとなり、日本円に換算すると約26億円という大変高額のものとなっています。
GDPR規制の対象要件
GDPRの適用は、欧州に拠点があるのか、または欧州に向けた商品やサービスを提供しているのかで判断します。
(1)欧州に拠点がある
欧州に子会社、支店、営業所がある企業は、域内に所在地がある子会社が直接の適用対象になります。さらに、日本の本社が、その子会社が収集した個人データに関与している場合と関与していない場合で、対象となるかどうか変わってきます。例えば、子会社が収集した個人データを本社での閲覧や、マーケティングに使っていれば適用対象になります。
もし、子会社の中だけで域外への移転がなければ適用外として扱われます。
(2)欧州に商品やサービスを提供している
拠点がなくても日本から直接、欧州に商品やサービスを提供している場合は適用されます。
例えば、インターネット販売のようなケースです。ウェブサイトを用意して欧州に日本から商品やサービスを提供する際、注文を受けた顧客から氏名や住所、メールアドレスなど入手しますが、この収集した個人データは、日本のサーバに保管しているとします。これは適用(域外適用)の範囲に当たり、個人データの取得や処理においてGDPRに沿った手続きが必要になります。
次号では、具体的なGDPRの対応策の進め方について解説いたします。 (中小企業診断士・竹内 敏則)
お問い合わせ
会社:Supported by 第一法規株式会社
住所:東京都港区南青山2-11-17
電話:03-3796-5421
