日本企業が、EU(欧州連合)が2018年5月から適用する一般データ保護規則(GDPR)への対応を急いでいる。楽天は2016年12月、個人データの取り扱いで包括的な承認を得たと発表。インターネットイニシアティブ(IIJ)も2017年秋の承認を目指す。

 GDPRは、EUで個人情報を取り扱う企業に対する規則や罰則を規定するもの。個人データの処理や移転などに強い制約を設けている。

 日本企業が欧州法人の従業員の人事情報などを日本で扱う場合は、EUのデータ保護機関から「欧州と同じ基準でプライバシー保護をしている」との承認を得る必要がある。日本はEUから「十分性認定」を受けていないためだ。日本がプライバシー保護の法制度を「十分に整備している」と、EUは認めていないことを意味する。

 GDPRに対応するためには、データ移転の案件単位に結ぶ「標準契約条項」(SCC)か、日欧を含む企業グループ内で包括的に結ぶ「拘束的企業準則」(BCR)に関する承認が求められる。ただ、「SCCは管理の手間が膨大になる」(楽天)という。

 楽天は、欧州拠点があるルクセンブルクのデータ保護機関からBCRの承認を受けた。BCRを承認されたのは日本企業で初めてだ。

 BCRに対する準備は「2014年中ごろから進めてきた」(楽天)。それまではSCCの承認を得て対応してきたが、データを扱う事業部門や法務部門での確認や関係各社の署名、データ保護機関への届出や更新などが案件ごとに必要で「際限がない状態だった」(同)。

 SCCは所定の書式で締結できるのに対し、BCRは承認を得るまでに手間と時間がかかる。プライバシー保護の情報管理ルールをグループ内で統一して英訳する必要があり、承認に約1年を要するとされる。それでも楽天は「GDPRへの対応も考えて、BCRの承認を得るのが最適」(同)と判断した。