前回までは、新型コロナウイルス感染症やウクライナ情勢、資源価格や物価の高騰など先行きが不透明な状況が続く中においても、他の先進国を上回るペースで経済成長を続けているアイルランドについて、その成長戦略の柱となる海外直接投資(FDI)の中核を成す人工知能(AI)やIoT、サイバーセキュリティなどの成長産業分野と現状を紹介しました。今回は、2018年に施行された欧州の「一般データ保護規則」(GDPR)について、日本企業が知っておくべきことやアイルランドにおける現状を紹介します。
厳格なGDPRの規定と日本企業が注意すべき点
GDPRは、「自然人の基本的な権利の保護」という観点から個人データ保護やその取り扱いについて厳格かつ詳細に定められたものであり、欧州連合(EU)域内の各国に適用される法令として、2018年5月25日に施行されました。
EU居住者の個人情報を取り扱う企業にはGDPRへの対応が義務付けられていることから、企業規模や欧州拠点の有無に関わらず、多くの日本企業にもその対応が必要となっています。GDPRのもと、個人は以下の権利を有しています。
- 情報を提供される権利
- アクセスする権利
- 修正する権利
- 消去する権利
- 処理を制限する権利
- データポータビリティーの権利
- 異議申し立ての権利
- 自動化された意思決定とプロファイリングに関連する権利
また、コンプライアンスに準拠するために、企業側は以下のことを行う必要があります。
1.データ監査の実施
2.GDPRにおける個人の権利の理解・対応策の準備
消費者は自分の個人データを見る権利(通常、要求から1カ月以内)や変更・削除する権利を有するほか、データのさらなる処理の制限を要求やその使用に対する事前の同意も撤回することができます。そのため企業側では、GDPRの顧客の権利を十分に理解した上で、さらにデータ侵害が発生した場合、72時間以内に顧客に通知するなどの対応要件を確認の上、それらへの対応策を講じる必要があります。
3.GDPRへの対応体制の構築
データ保護責任者(DPO)の任命のほか、適切な予算やツール、リソースを割り当て、適切な対応体制を構築する必要があります。
GDPRに違反した組織に対して課される行政罰は、「最高2000万ユーロ」もしくは「当該組織の前会計年度の全世界における年間総売上高の4%」の「いずれかの高い方」に設定される可能性があります。
また、GDPRでは、組織に行政処分を課すことを決定する際には、データ保護委員会(DPC)において、以下のような多くの要素を十分に考慮しなければならないことになっています。
- 侵害の性質、重大性、期間、影響を受けた個人の数および彼らが被った損害の度合い
- 侵害の故意または過失の性質
- 損害を軽減するために組織がとった行動
- 当該組織による過去の侵害の有無
- 関係するPersonal Informationのカテゴリー
- DPCが侵害を認識した方法
GDPRは、前述の通りEU居住者の個人情報を扱う日本国内の企業にも当然適用されています。日本企業にとって若干有利になる点があるとすれば、GDPRは、2005年から施行されている日本の個人情報保護法(APPI)と非常によく似ている点です。2017年5月30日に施行された改正APPIによって、日本は2019年1月23日に欧州委員会(EC)から「十分性認定」を受けており、「十分性認定」を獲得した最初の国となっています。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)