1 はじめに
突然ですが,近ごろ新聞や雑誌で「GDPR」という言葉を耳にしませんか?「GDPR」とは,EU一般データ保護規則のことで,EU域内から域外へ個人データを移転することが原則として禁止するルールです。
「ヨーロッパのことでしょ?うちの会社は関係ないよ」と思った社長,ちょっとだけ待ってください!このGDPR,実はけっこう適用範囲が広いのです。また,先日わが国がEUとEPA(経済連携協定)を締結したことは記憶に新しいですが,今後のEUとの貿易をビジネスチャンスと考えている社長にも,気に留めておいていただきたいところです。
2 これだけは知っておいていただきたいGDPRの適用範囲
(1)とある社長の相談
ケース1―製造業 わが社はメーカーで,EU域内に営業所があり,現地の人を雇用しています。本社がある日本で一括して労務管理をしていますが,GDPRの対策は必要ですか? |
ケース2―農業 わが社は静岡県でブランド野菜を育成・販売しています。今般,日欧EPAが発行されたことから,わが社のブランド野菜をEU向けに出荷したいと考えています。何か気を付けることはありますか? |
ケース3―旅館(ホテル) わが社は静岡県で旅館業をしています。最近はヨーロッパからお越しのお客様も多く,皆様インターネットから宿泊予約をされています。何か問題がありますか? |
ケース4―動画配信 わが社はインターネットで動画を配信するサービスを運営しています。登録したお客様は月額料金をわが社に払い,わが社の動画を見ることができます。今般,お客様のリストを確認したところ,ヨーロッパ在住のお客様もある程度登録されていることが分かりました。 |
(2)GDPRの適用範囲
結論からいえば,上記すべてのケースでGDPRが適用されます(対応の必要があります)。誤解をおそれずにいえば,およそEU域内の人に商品やサービスを売っている会社 ,EU域内の人を雇用している会社はGDPRの対策を検討しなければなりません。
3 対応のポイント
GDPRが適用されると,原則として,EU域内の個人データをEU域外に移転できなくなり,厳密に対象者の同意を得る必要が出てきます。重大な違反には制裁金が課されますし,一定の場合にEU域内に管理者または現地の代理人を置く必要があります。
上記のケースに心当たりがある場合,顧問弁護士と対応を協議するのがよろしいかと思います。
なお,わが国にも個人情報保護法という法律が存在し,先般の改正時にはほとんどの企業が個人情報保護規定を作成されたかと存じます。現在わが国は,EUと協議して,わが国の個人情報保護法に基づく対応で十分であるという協定を締結しようとしています(「十分性の認定」といいます)。これはまだ少し先の話ですから,同行が注目されます。