• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース解説

EUデータ保護規則への対応急ぐ、楽天とIIJが包括的な認可取得

大豆生田 崇志=日経コンピュータ 2017/02/14 日経コンピュータ

 日本企業が、EU(欧州連合)が2018年5月から適用する一般データ保護規則(GDPR)への対応を急いでいる。楽天は2016年12月、個人データの取り扱いで包括的な承認を得たと発表。インターネットイニシアティブ(IIJ)も2017年秋の承認を目指す。

 GDPRは、EUで個人情報を取り扱う企業に対する規則や罰則を規定するもの。個人データの処理や移転などに強い制約を設けている。

 日本企業が欧州法人の従業員の人事情報などを日本で扱う場合は、EUのデータ保護機関から「欧州と同じ基準でプライバシー保護をしている」との承認を得る必要がある。日本はEUから「十分性認定」を受けていないためだ。日本がプライバシー保護の法制度を「十分に整備している」と、EUは認めていないことを意味する。

 GDPRに対応するためには、データ移転の案件単位に結ぶ「標準契約条項」(SCC)か、日欧を含む企業グループ内で包括的に結ぶ「拘束的企業準則」(BCR)に関する承認が求められる。ただ、「SCCは管理の手間が膨大になる」(楽天)という。

 楽天は、欧州拠点があるルクセンブルクのデータ保護機関からBCRの承認を受けた。BCRを承認されたのは日本企業で初めてだ。

 BCRに対する準備は「2014年中ごろから進めてきた」(楽天)。それまではSCCの承認を得て対応してきたが、データを扱う事業部門や法務部門での確認や関係各社の署名、データ保護機関への届出や更新などが案件ごとに必要で「際限がない状態だった」(同)。

 SCCは所定の書式で締結できるのに対し、BCRは承認を得るまでに手間と時間がかかる。プライバシー保護の情報管理ルールをグループ内で統一して英訳する必要があり、承認に約1年を要するとされる。それでも楽天は「GDPRへの対応も考えて、BCRの承認を得るのが最適」(同)と判断した。

ここから先はITpro会員(無料)の登録が必要です。

次ページ IaaS事業者として初申請
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る