リスクアドバイザリー
GDPRコラム

第2回 GDPRの影響を受ける日本企業と違反時の制裁金

2016.08.25

2. 日本企業への影響

(1) 影響を受ける企業

GDPRはEUで定められたルールですが、以下のような場合は日本の企業であっても適用対象となります。

  • EUに子会社、支店、営業所を有している企業
    EU域内に所在地がある当該子会社等にとってGDPRは直接の適用対象であり、当該企業は日本に本社を有している場合でも情報主体者としてGDPRへの対応が必要となります。
  • 日本からEUに商品やサービスを提供している企業
    EU域内の個人(消費者)に対して日本から商品やサービスを提供している場合、たとえEU域内に子会社等がなかったとしても、当該企業は個人データの取得や処理にあたりGDPRに沿った手続を実施する必要があります。
  • EUから個人データの処理について委託を受けている企業
    データセンター事業者やクラウドベンダーなどのように、EU域内の企業から個人データの処理などを受託している場合、当該受託企業は情報処理者(Processor)として個人データの域外移転に関してGDPRが定めるルールに準拠する必要があります。

上記の他、たとえばWebサイト経由でEU域内の情報主体者の個人情報を収集し、日本国内で個人データの分析やプロファイリング処理を行うような場合においても、当該企業は個人の行動監視(monitoring)を行う立場とみなされてGDPRの適用を受けることになります。

(2) 違反時のインパクト

1.(2)で述べたように、GDPRは適用対象となる企業に対し様々な義務を課すとともに、従来のEUデータ保護指令に比べ、違反した場合には多額の制裁金を課すことでルールの遵守を厳格に働きかけています(GDPR第83条)。

制裁金と違反例

制裁金 違反例
最大で企業の全世界売上高(年間)の2%、または1,000万ユーロ(※)のうちいずれか高い方
  • 個人データの取扱いに関し、適切な技術的、組織的安全管理対策を実施しなかった場合(そのような措置を取らない情報処理者に個人データの処理を委託する場合も含む)
  • 個人データの処理に関する記録を残すことが義務付けられているにもかかわらず、記録を書面で保持していない場合
  • 個人データの侵害(情報漏えい)が発生したにもかかわらず、監督機関に対し適時に通知しなかった場合
  • データ保護官の選任が義務付けられているにもかかわらず、任命していない場合
最大で企業の全世界売上高(年間)の4%、または2,000万ユーロ(※)のうちいずれか高い方
  • 個人データの処理に関する原則(GDPR第5条)を遵守しなかった場合
  • 個人データの処理を適法に実施しなかった場合
  • 同意に関する条件(GDPR第7条)を遵守しなかった場合
  • 個人データの域外移転に関するルールを遵守しなかった場合
  • 監督機関からの命令に従わなかった場合
(※)1ユーロ=120円とした場合、1,000万ユーロは12億円、2,000万ユーロは24億円

3. GDPRへの対応に向けて

日本の企業が事業活動を積極的にグローバル展開していく状況にあって、日本は個人データの取扱いに関し、いまだ欧州委員会による十分性の認定を受けるに至っていません。このため、個人データをEUとの間で円滑に流通させるためには、個々の企業が自らGDPRに沿った対応を実施することが必要となってきます。

GDPRの要求事項は多岐にわたることから、企業は各条文の内容の理解にとどまらず自社の置かれている状況を適切に把握した上で、以下のような対応計画を慎重に進めていくことが望ましいと考えられます。

  • (1)準備フェーズ
    現状を調査し、GDPR対応として必要な作業について担当部署、作業ボリュームを把握することにより、次フェーズの全体計画及びスケジュールを決定する。
  • (2)対応フェーズ
    準備フェーズの計画に基づき、GDPR対応として求められる個人データ保護の管理態勢(組織内の役割分担、規程類の整備、運用ルールの決定等)を構築し、関係者に周知徹底する。
  • (3)運用フェーズ
    新たに制定した規程類、ルールに則って適切に運用が行われているかどうかを評価し、必要に応じて規程等の見直しまたは運用の改善を実施する。

以上のように、企業は2018年5月の適用開始に向けて、限られた時間の中で効率的かつ速やかにGDPR対応を推進していくことが重要となってきます。


GDPRコラム

【関連ページ】


情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?