fbpx

GDPR対応の重要な事実

この文書は、来るべきEU一般データ保護規則(GDPR)の概要を説明するものであり、法律的なアドバイスを提供するものではありません。お客様の特定の状況を規定する要件を熟知するために、お客様ご自身の弁護士にご相談されることをお勧めします。一方で多くの企業がGDPRとGDPRの下での新たな義務について疑問を持っていることを私たちは知っています。そこで、お客様のコンプライアンスを支援するために、以下にGDPRの注目すべき規定の概要をご紹介します。

GDPRとは?

EU一般データ保護規則(以下「GDPR」)は、急速な技術開発、ビジネスのグローバル化、個人データの国際的な流れの複雑化に鑑み、「個人データ」(特定または識別可能な自然人に関するあらゆる情報、いわゆる「データ対象者」)の保護を強化するために、既存のEU法を更新する新しい包括的なデータ保護法である。GDPRは現在の各国のデータ保護法のパッチワークを、EUの各加盟国で直接執行可能な単一の規則に置き換えます。GDPRは2018年5月25日に発効します。

GDPRは私の組織に影響を与えますか?

EUに設立された組織の文脈で個人データを処理している場合は、EUで個人データを処理しているかどうかにかかわらず、GDPRが適用されます。「処理」とは、収集、保存、転送、普及、消去など、個人データに対して行われるあらゆる操作を意味します。

お客様がEU内に設立されていない場合、EUのデータ対象者に商品やサービス(有償・無償を問わず)を提供している場合、またはEU内でEUのデータ対象者の行動を監視している場合には、GDPRが適用されます。モニタリングとは、ウェブサイトにクッキーを置くことから、データ対象者の閲覧行動を追跡すること、ハイテクな監視活動に至るまで、何でもあります。

欧州のデータ保護法では、個人データを処理する組織は、個人データを管理する「コントローラー」と、コントローラーの指示にのみ基づいて個人データを処理する「処理者」に分けられます。GDPRはコントローラーと処理者の両方に適用されます。

GDPRは、EUの既存のデータ保護法をどのように変えるのか?

GDPRは、既存のEUデータ保護法をいくつかの方法で変更します。

  1. 拡大された「個人データ」の定義:GDPRでは、個人データの概念が拡大・明確化されています。個人データの基本的な概念はほとんど変わりませんが、GDPRでは位置情報やIPアドレスなどのオンライン識別子も個人データとみなされることを明確にしています。GDPRはまた、センシティブな個人データの概念を拡大し、遺伝子データやバイオメトリックデータを含むようにしています。
  2. EU個人の権利の拡大と新たな権利 GDPRでは、以下のようなEUのデータ主体の権利が拡大されています。
    1. 削除:この権利は「忘れられる権利」と呼ばれることもあります。データ対象者は、個人データが本来の処理目的に必要でなくなった場合や、データ対象者が処理への同意を撤回した場合など、一定の条件の下で、管理者に個人データの消去を要求する権利を有しています。この権利は、インターネット・サービス・プロバイダーに対して、公開されている古い情報、特に検索結果に表示される情報の削除を要求するための手段として、オンラインの世界にも拡大されています。
    2. 制限:GDPRでは、データ対象者は、個人データの正確性がデータ対象者によって一定期間異議を唱えられた場合を含め、多くの状況において、個人データの処理の制限を管理者から得る権利を有しています。処理の制限とは、データを保有する組織がデータを保存し続ける権利を有し、それ以上の処理ができないことを意味します。
    3. 個人データの可搬性:データ対象者は、特定の状況下では、管理者に提供した個人データを、構造化された一般的に使用される機械読み取り可能な形式で受け取る権利を持つようになりました。
  3. セキュリティ対策:GDPR では、コントローラと処理者は、提示されたリスクに応じて適切なレベルのセキュリティを確保するために、適切な技術的および組織的な対策を実施することが求められています。セールスフォースでは、業界最高水準を満たす堅牢なセキュリティ対策を実施しています。当社のサービスの一部では、国際標準化機構 (ISO) 27001 および 27018 規格、米国公認会計士協会 (AICPA) のシステムおよび組織制御 (SOC) レポート、ペイメントカード業界データセキュリティ基準 (PCI)、テュフラインランド認定クラウドサービス、TRUSTe 認定シール英国サイバーエッセンシャルズスキームなどのセキュリティ認証を取得しています。特定のサービスに関する当社のセキュリティ対策の詳細については、当社の信頼性とコンプライアンスに関する文書をご覧ください。
  4. 違反の通知:GDPRは組織が特定の個人データの侵害を関連するデータ保護当局に報告し、場合によっては影響を受けるデータ対象者に報告することを求めています。コントローラーは、違反がデータ対象者の権利と自由にリスクを与える可能性がない場合を除き、「過度の遅延なく」(可能であれば、違反を知ってから72時間以内に)関連するデータ保護当局に通知しなければなりません。状況がそれを必要とする場合、コントローラはデータ対象者にデータ違反を伝えることを要求されることもある。処理者は、個人データの侵害に気づいた後、「不当な遅延なく」コントローラに通知することが求められます。
  5. データ保護の影響評価:特定の処理がデータ対象者にとって「高リスク」に分類される可能性が高い場合、管理者は、提案された処理操作が個人データに与える影響を特定するデータ保護の影響評価を実施する必要がある場合があります。
  6. 国際的な移転:欧州のデータ保護法では、データを保護するための適切な保護措置が講じられていない限り、個人データのEU域外への移転が制限されています。GDPRは、EU外への個人データの移転を合法的に行うための現行のメカニズム(例:EU標準契約条項、EU委員会の適切性に関する決定など)を引き続き認めています。また、GDPRは、EUから他国への個人データの転送を容易にするために、欧州のデータ保護当局によって承認された企業固有の、グループ全体のデータ保護ポリシーのセットであるBinding Corporate Rules(「BCR」)も正式に認めています。
  7. 同意:GDPRの下で追加の要件を満たす必要があります。GDPRでは、同意を「自由に与えられた、具体的で、インフォームド・インフォームド・曖昧さのない、声明または明確な肯定的行動によるデータ対象者の希望の表示」と定義しています。同意の概念は、法的な観点から特定の処理活動を正当化するための手段として、GDPR全体で使用されています。
  8. 透明性の確保:GDPR では、管理者は個人データが収集された時点で、データ対象者に処理業務に関する情報を提供することを要求しています。この情報には、個人データが公正かつ透明性のある方法で処理されていることを確認するために、管理者の身元と連絡先、データ保護責任者の連絡先(関連する場合)、個人データの処理の目的と法的根拠、データの受領者、その他多くの項目が含まれます。さらに、コントローラは、個人データがデータ対象者から直接取得されていない状況であっても、データ対象者に情報を提供することが求められます。
  9. プロファイリング:GDPR は「プロファイリング」という概念を導入しており、個人データを使用して個人の側面を評価し、特に個人の仕事上のパフォーマンス、経済状況、健康、個人の嗜好、興味、信頼性、行動、場所、移動に関連する側面を分析または予測する自動化された処理のあらゆる形態が導入されています。データ対象者は、プロファイリングの存在とプロファイリングの結果について知らされなければなりません。
  10. 施行:GDPR の下でのコンプライアンス違反に対する罰金は多額になる可能性があります。データ保護当局はGDPRの下で多くの執行権限を持っており、その中には2000万ユーロまたは全世界の年間売上高の4%のいずれか高い額までの罰金を科すことができる権限も含まれています。これらは最大の罰金であり、規制当局が新たに取得した執行権限をどのように利用するかは、今後の動向を見守る必要があります。
  11. ワンストップショップ:GDPRの下では、2つ以上のEU加盟国で設立された組織、または2つ以上のEU加盟国でデータ対象者に影響を与える個人データを処理している組織は、監督するデータ保護当局についてより明確になります。その組織の欧州の主要な設立地の監督当局が主導権を持つことになります。この当局は、国境を越えたデータ保護問題に関して、関係する他の監督当局と協力します。

 

SNSでもご購読できます。

コメントを残す

*