日本企業は欧州子会社の従業員のデータであっても無断でEU域外には持ち出せない。グローバル人事システムで欧州の従業員の人事情報を日本で管理したり、顧客データを集めて活用したりするには、事実上、「標準契約条項」(SCC、Standard Contractual Clauses)を締結する方法しかない。EUが十分なレベルの個人データ保護があると認める十分性認定を得なければ、日本企業の負担は重いままだ。そのためにはプライバシー保護の基本の考え方を知る必要がある。

 「日本の産業界全体では、結構なコストがかかっているのではないか」。こう話すのは、デロイトトーマツサイバーセキュリティ先端研究所の北野晴人主任研究員だ。同社は数社の日本企業に、EUから合法的に個人データを移せるようにSCCを締結して欧州のデータ保護機関の認定を受けるアドバイスを手掛けたという。

 北野氏のもとに相談に訪れる企業は大きく分けて二つのパターンがあるという。一つは、海外で製品の製造や販売をしている製造業で、世界中に顧客がいる。そこで顧客に関わるデータを吸い上げて分析すれば、マーケティングや製品開発などに活用ができると考える企業だ。

 もう一つは、海外人材を活用するために年功制をやめてグローバルで人事評価基準を統一して、グローバル人事システムに欧州の従業員の人事情報を持ってこようとする企業だ。いずれの企業も、どうやって合法的に欧州の個人データを日本や欧州域外のクラウドに持ち出せるかという問題にぶつかる。

 大企業であっても事業部門は欧州の法制度を知らずにビジネスを進めてしまう。ところが、欧州から個人のデータは持ち出せないといわれて初めて規制の存在に気付く。慌てて日本の法務部や欧州の法律事務所に問い合わせて、相談に駆け込んで来るケースが少なくないという。

 北野氏は「こっそり個人データを持ち込んでいる企業もあるかも分からないが、相談をされれば当然、違法な状態ではデータを持ち出せない」と話す。

 日本企業がEUのデータ保護規則に違反せずに個人のデータを域外に持ち出すには、EUが例外として認める三つの方法しかない。本人(データ主体)の同意を得るか、「拘束的企業準則」(BCR、Binding Corporate Rules)やSCCを締結することだ。北野氏は決まって同意とBCR、SCCの三つの方法を説明しているという()。

図●欧州から個人データを域外に持ち出す際の手続き
図●欧州から個人データを域外に持ち出す際の手続き
(出所:デロイトトーマツサイバーセキュリティ先端研究所)
[画像のクリックで拡大表示]
注=DPAはデータ保護機関(Data Protection Authority)の略称。