1995 年に制定された「データ保護指令」(Data Protection Directive) に代わる新しい個人の情報を守るための規則である「EU 一般データ保護規則 ( GDPR)」が 2018 年 5 月 25 日から施行されます。 GDPR は 制定された 2016 年から移行期間の 2 年が過ぎ、試行間際になりようやく重い腰を上げた・・・という企業や店舗も多いかもしれません。
また、欧州内の企業にのみ関係があると思い、対策の必要がないと思っていた日本企業も多いかもしれません。 しかし、GDPRは、欧州経済領域 (EEA) に本拠地を置かない日本企業にも、実は深く関係します。
注意:この記事内の情報について” GDPRは施行が行われた後も改正、変更などが予測される法律です。 新たに加わる必須事項なども増えてくるかもしれません。 また欧州国内でも各国により規則に細かい違いがあります。(記事内容は2018年5月のものです)
記事の一部にNIPPONip vol.48より抜粋箇所有り
個人情報、データ保護に関しての意識の変化は 1970 年代頃から始まります。 データ保護に関しての意識の変化は、インターネット・テクノロジー、通信技術の進化と連動しています。 参考までに、インターネット上の大きな検索エンジン、SNSの台頭とクラウド型サービスの年表を見てみましょう。
1970年代 | 通信技術の進化と浸透が始まった頃、世界各国で独自の個人情報保護に関する法律が制定され始めました。 |
1980 年代 | ネットワーク、IT 技術の一般への浸透から、盛んに行われる輸出入やデータ化された情報の取り扱いが増えていきました。 各国のビジネスがスムーズになるように1980年経済協力開発機構において、プライバシー保護と個人データの国際流通についてのガイドラインが採択され、その中で個人情報保護に関する基本的な原則として、「OECD8 原則」が定められました。 また、1981年には欧州評議会において、個人データの自動処理に関する個人の保護のための条約(条約第108号)が採択されます。 |
1990年代 | 1995年にはEU データ保護指令が制定されるなどして、各国の個人情報の取扱いへの取組みが大きく変化していきます。 |
2000年代 | SNS が普及、オンラインでのネットワーク作りや情報の共有方法が大きく変化します。 |
2010年代 | クラウド型サービスの登場と浸透により、ビッグデータの管理と処理が複雑化し、個人情報が漏洩するリスクが増大してきたことなどから各国での個人情報保護への意識が高まりました。 |
この動きと連動するかの様に、世界各国でも個人情報保護に関する法律が定められてきました。
個人データには、特別カテゴリーのデータ、仮名化データ、匿名化データがあります。 プライベートで繊細な情報は特別カテゴリーの個人データとなるため、病院、保険関係の業務従事者は今まで以上に個人データの管理・処理を行う必要があります。
データ主体は8つの重要な権利を持ちます。 特に「情報の通知を受ける権利」を守るために、Webサイトの仕様が変わります。 これまでは問題なかった(例えグレーゾーンでも)サービスや手法が、今後はできなくなります。 例えば、コンタクトフォームなどのメールを送る際に必ずオプトイン(送信者が自分で同意の意思表示をしないと遅れないようになる)チェックボックスなどが必要になります。
簡単に言うと、GDPR とは「EEA 在住個人のデータを守るための法律」です。 そのため、個人データが手厚く守られます。 個人データを扱う企業や業者、店舗(個人事業主、メルマガの発信者なども含まれます)などはこれまで以上に、丁寧に、明確に、データの取り扱いを文書化して取り扱う必要があります。
GDPRが適用される全ての企業・機関・事業主、そして従業員も、これまでよりも、より厳重な個人データの取り扱いが求められます。 この「個人データ」には、自社の従業員はもちろん、履歴書を送ってくる求職者などの情報も含まれるので、履歴書を受け取る際には「個人データの処理の目的及び法的根拠」「個人データの保管期間」「個人データの移転の有無」等、と様々な情報を提供しなければなりません。
では、具体的に何をしたらいいのか? と言うとガイダンスがある様で無いのが現状です。 と言うのも、業種や取り扱うデータ内容により GDPR 遵守の必須条件は異なるため、まずは、オンライン上で提供されている色々な「簡易アセスメント」で調べてみてください。
オンライン上で出来るアセスメント
ドイツ国内でも日本語で → Enobyte GDPRアセスメント(無料版)/日本語
マイクロソフトのTrust Centerは必読 → Microsoft アセスメント/英語
無料のアセスメントを受けた後、「GDPRに対応していない・DPOが必要です」という結果が出たら、DPOや専門の機関や法律事務所に問い合わせをするか、さらに詳しいアセスメントを行ってください。 「DPOは不要です」という結果が出ても、簡易版や無料版の結果では不安な場合は、一度、DPOに問い合わせたり、法律事務所などに相談をしてみる事もお勧めします。
追記2018年6月:現時点ではドイツ国内でもGDPR遵守を厳しく取り締まるには不明な点が多すぎるということで、12ヶ月程度の猶予を持たせるという様な議論も出てきています。 DPOに問い合わせた、という実績も考慮されるため、まだ準備が出来上がっていない場合はこれからでも最低限のGDPR対策を心がけておくと良いでしょう。
DPOや法律事務所など
ドイツ国内でも日本語でDPOを派遣可能 → Enobyte GmbH
日独に拠点がありドイツ語、英語にてGDPR対応を含む幅広い企業法務についてリーガルサービスを提供 → 渥美坂井ヤンセン弁護士法人
日本語OKの日本人DPO所属、DUS、FRA、東京他各国に拠点あり法律業務にも強い → ヒュッテ法律事務所
MUC、DUS、東京に拠点を持つ独日のクロスボーダー案件に関する法律業務にも強い → ARQIS アーキス法律事務所
英国の期間ですが、サイトで使われるいろいろな機能のチェックリストが豊富 → ICO
特別カテゴリーの個人データを大規模に処理する場合などには、データ保護責任者(Data Protection Officer, DPO (Datenschutzbeauftragter )の選任が必要となります。 ドイツで 1977 年に個人のデータを守る法律 folgte das Bundesdatenschutzgesetz (BDSG) が制定され、データ保護責任者 Datenschutzbeauftragter (DSB) という職業が生まれました。 この DSB は DPO の前身とも言える職業のため、GDPR の施行により注目を浴びる形となった DPO ですがドイツでは新しい職業ではありません。
そして、注目が集まりすぎて(?)必ずDPOが必要な気持ちになりますが、GDPRに対応するためには必ずしもDPOが必要ではありません。
DPOが不要な場合
1 個人データの自動処理を行う従業員が 10 名に達しない事業所の場合 (ドイツの場合)
なお、この場合でも、特別カテゴリーの個人データを大規模に処理する場合など、他の要件を満たす場合には、DPOが必要になります。
2 個人を特定できるデータをほとんど保持しない場合
例えば、駅中の花屋さん。 お客さんは駅を行き交う人々、現金のみで支払い可能で、配送もたまにしかしないのでお客さんの個人情報もほとんど持っていない場合は DPO は不要となります。 この場合は、データの管理をする「データ管理者」が GDPR に従って、必要な措置を講じることとなります。
DPOの資格
DPO には特定の資格が必ずしも必要となるわけではありません。 ただし、GDPR を遵守するための講習を受講し、その実務の専門知識や技量を有している、有事の際に データ保護監督当局(Data Protection Authority, DPA) とのやり取りが遂行出来ることなどが最低限必要とされます。 DPA との協働の際に「知識不足」や「規定の遵守が出来ていない」などの理由から DPO として認められなかった場合には巨額の制裁金を支払わなければならない可能性があります。 そのため、DPO を任命する際には、個人情報に関する資格を保有していたり(ドイツの場合、前述のDSBなど)GDPRに関する講習を定期的に受け続けたりするなど、専門知識取得のために勉強をしている人材などを選ぶようにすることをお勧めします。
DPOの業務内容
DPO には様々な業務を遂行する必要がありますが、主な業務内容は以下の通りになります。
確認、指導、監視、監査
・顧客・取引先における個人データの収集・処理システムが適法か
・従業員データ(人事記録、就職希望者情報の管理等) の収集・処理システムが適法か
・マーケティング・販売分野でのシステムの当事者への情報提供義務や広告の受取拒否に関する規定を遵守しているか
・保存済み個人データの訂正・利用停止・削除に関するシステム
・社内、委託先(サービス事業者)が外部業者にデータ処理を委託する際に実行しているデータ保護に関する技術上、組織上の矯正措置の実施について
規定(マニュアル・システム)の作成、実施
・個人データの処理に関わる従業員の個人情報秘匿義務に関するシステム
・従業員のデータ管理トレーニング
・DPIA(最悪の事態)が発生した場合への予測と対応策
窓口となり、レポートを出す
・データ保護対策の有効性を証明するための年間活動報告書
・監督機関への調査・現状レポート
・社員や顧客などへの個人情報についての窓口になる
・監督機関との窓口になり相互協働
・データ漏えいなどの場合は 72 時間以内に 監督機関に通知
誰が社内のDPOになれるのか?
社内の者をDPOに任命することも可能ですが、DPOの業務と他の業務との間で利益相反が生じない者でなければなりません。 例えば、(個人データの処理の目的及び手段を決定するような地位にある)社長等の経営陣や人事部門、IT部門等の各部門の長など、それらの業務とDPOの業務との間に利益相反が生じる場合にはこれらの者をDPOに任命することはできません。
つまり、自社内で選任する場合は、経営陣等以外の者の中から DPO を任命する必要があります。 しかし、DPO はDPOの業務遂行に関して解雇又は処罰されない決まりとなっているため、適した人材を選ぶ事が重要になります。
もちろん外部に依頼する事も可能です。
外部DPOを雇う場合の事前チェックポイント
取り扱うデータの種類と量などにより外部委託に要する費用も大きく異なります。また、現在は人手不足も相まってDPO の任命はとても難しくなっています。 選任するポイントとして
しっかり話や要件を聞いてくれる、レスポンスの早い会社や外部 DPO の人材を選ぶようにすると良いでしょう。
GDPR が遵守されていない場合、違反の性質、重大さ、故意・過失等さまざまな要素によって制裁金の額が変わってきますが、
いずれもどちらか高い方が制裁金として科される可能性があります。
日本にも個人情報保護法がありますが、従業員等が不正な利益を図る目的で個人情報等を提供又は盗用した場合には、1年以下の懲役又は 50 万円以下の罰金に処せられるなどの罰則が定められています。
日本に比べてこの高額な罰則と制裁金は、それだけ個人情報の重要さを強調し、遵守させようという欧州の心意気(?)が見えるような気がします。
流石にここまで厳しすぎる位の罰則があると、きっちり遵守しておかねば・・・という気になりますよね。
GDPR遵守のために、まずは自分でできることはいくつかあります。
Strip Cut ストリップカット |
各A4シートを5.8mmカットサイズに基づいて約36本の短冊状に細断します。 |
Crosscut クロスカット |
各A4シートを4×38mmのカットサイズに基づいて約410の正方形に近い形に細断します。 (ダイヤモンド型もあり) |
Micro cut マイクロカット |
各A4シートを2×12mmのカットサイズに基づいて約2500の紙くず状に細断します。 |
弊社ではGDPRコンプライアンスに関するアドバイスや、DPOの派遣は出来ませんが*、ドイツへの進出や、これからドイツで起業する方を応援しています。 名刺など各種印刷やウェブ制作のご依頼のついでに、気になることなどあれば何でもご相談くださいませ。 分かる範囲でご返答いたします!
* ドイツ国内で日本語で対応可能なDPOをご紹介可能です *