GDPR対策は説明責任を果たせる体制作りがポイント－EUデジタル市場セミナーを開催（2）－

基本的人権と位置付けられるEUの個人情報

まず、ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィスのオブ・カウンセル弁護士である杉本武重氏が、現地で活動する専門家の立場から、これからGDPR（注）対策に着手する日本企業に向けたアドバイスと、欧州データ保護監督当局の最新動向などについて紹介した。

GDPRは、欧州経済領域（EEA）内における個人データの処理および域外への移転を原則違法とし、違反した場合には巨額の制裁金を科す規則だ。杉本氏は、従来EUでは「データ保護指令」に即したかたちで各国が独自のデータ保護法に国内法制化していたが、GDPRによって各国のデータ保護法は廃止となること、他方で一定の事項については加盟国に個別に立法化する余地があり、企業はGDPRに加えて国内法も踏まえた対応を求められると強調した。またポイントとして、EUでは個人情報が基本的人権の1つと見なされることを前提としてGDPRが作られており、「個人データ」や「処理」「移転」行為の対象が非常に広く設定されており、欧州に拠点があるか否かにかかわらず、EEAに所在する個人データを取り扱う企業であれば対策が必要になると警告した。

続いて企業が具体的に取るべき対策として、まず「データマッピング」の作業を通して自社のGDPR順守の現状を把握し、どこに優先順位をおいて対応すべきかを整理することが先決だとした。その際のポイントとして、特定の部署のみでは網羅的な作業ができず、また実際の対策も特定の部署のみでは不可能であることから、作業に当たっては全社的なヒアリングと、作業について理解を得るための説明会が必要だと強調した。また「データマッピング」を通して洗い出した自社が扱う個人データについては、GDPRが規定する「処理」の条件を満たしているか否か、満たしていない場合はその対策を取ること、また満たしていることを欧州の監督当局に説明できるよう、社内の体制を整備することが重要だと述べた。

データ移転に係る日本の「十分性認定」取得に注目

EEAに所在する個人データの域外への「移転」については、注目すべき点として日本政府の「十分性認定」取得に向けた取り組み〔2017年7月6日に日EU経済連携協定（EPA）の大枠合意に併せて発表（2017年7月7日記事参照）〕を紹介した。杉本氏は2018年5月のGDPR施行前に日本がEUから十分性認定を取得できる可能性は高いとした一方で、同認定によりEEA外へのデータ移転の対策が全く不要になるわけではなく、EEAから日本以外の第三国にデータを移転する企業や、日本にいったん移転したデータを第三国に再移転する行為についてはカバーされないため注意が必要であること、適法に「移転」したデータの「処理」に関してはやはりGDPRにのっとった対応が求められることなどに留意が必要と述べた。また同氏は、扱っているデータが多い企業の場合、データ移転の適法化根拠の1つである「拘束的企業準則（BCR）」を取得することは適切な対策を講じている姿勢を示すことになり、当局に目を付けられにくい利点があると述べた。ただし、一部の監督当局ではGDPRの施行が近づく中でBCRの申請件数が大幅に増大し、以前より審査に時間がかかる可能性がある点を指摘した。そのほか、第29条作業部会によるGDPRガイドラインの公表状況などについて紹介した。

まとめとして、現実には企業にとって100点満点の対応を取ることは難しいが、できるところから対策を講じ、まずは取り組んでいる姿勢を当局に示すことが重要と述べた。

GDPR対応に着手している日本企業はまだ一部

続いてインターネットイニシアティブ（IIJ）ビジネスリスクコンサルティング部長の小川晋平氏が自社のGDPRへの対応経験を基に、GDPR対応のポイントおよび日本企業へのアドバイスを紹介した。

IIJは米国、中国、欧州を中心に、企業向けにインターネットサービスおよびクラウドサービスを提供するBtoBビジネスで海外展開を進めており、日本企業の中でもいち早くデータの「移転」に係るBCRを作成、英国の監督当局に申請している。同社の欧州拠点であるロンドン駐在中にGDPRに対応した小川氏によると、GDPR対応は規則本体を読んだだけでは具体的に理解できず、第29条作業部会公表のガイドラインなど膨大な資料を読み込む作業が必要となり、欧州域内に英語対応スタッフを抱えていない企業にとっては困難だという。

小川氏によると、欧州に拠点を持つ日本企業は1,700社あるが、同社がGDPR関連情報を提供するサイトの会員数などから推測しても、積極的に情報収集を行っている企業はまだごく一部だという。また対応に当たっての注意点として、GDPRは全社的な対応が必要になることから、担当者が問題意識を持っているだけでは不十分で、役員を巻き込んだ取り組みが必要と強調した。

制裁金をいかに減らすかが現実的目標

そもそもデータ保護違反をしないことがGDPRの目的だが、IT分野で完璧なセキュリティー対策を行うのは不可能だとして、小川氏は、万一事故が起きた場合にも、制裁金をできるだけ少なくすることが現実的な対策の目標になると述べた。監督機関から調査を受けた場合に制裁金を抑えるポイントは、アカウンタビリティー（説明責任）を果たせる社内の体制作りだという。100％の対策には多大なコストがかかることから、まずは自社の個人データ処理に関する現状評価を行い、リスクが高い部分を優先的に対応することになるが、その際リスクの度合いを判断するための文書を残しておき、適切に対応していることを示せるようにしておくことが重要だと説明した。また、GDPR対応のためだけの管理体制を作るのではなく、第三国にも同様の個人データ保護の波が来ることを見据え、既存の個人情報管理体制を有効利用して格上げし、グローバルでの管理体制にするべきだと小川氏は締めくくった。

（注）GDPRに関する詳細は、ジェトロ調査レポート「EU『一般データ保護規則（GDPR）』に関わる実務ハンドブック」入門編および実践編を参照のこと。

（根津奈緒美）