前回は、なぜ日本企業がEUデータ保護規則(GDPR)への対応を迫られているのかを、ひかり総合法律事務所の板倉陽一郎弁護士と、デロイトトーマツリスクサービスの北野晴人パートナーに語ってもらった。今回は知っておくべき事実の二つめとして、日本企業が取り組むべき内容について語ってもらった。

2016年2月に公開したITpro特集「『EUデータ保護規則』の衝撃」では、日本企業がEU域内から従業員の人事情報など個人データを日本に送るには、「標準契約条項」(SCC、Standard Contractual Clauses、もしくはSDPC、Standard Data Protection Clauses)を締結する方法しか事実上ないと紹介した。

図1●欧州から日本に個人データを送るのに必要となる「標準契約条項」(SCCもしくはSDPC)、「拘束的企業準則」(BCR)
(出所:デロイト トーマツ リスクサービス)
[画像のクリックで拡大表示]

北野晴人パートナー(以下、北野氏) かねてから指摘しているのは、データを域外に持ち出す場合に、契約を取り交わしさえすれば、個人データを持ち出せるものではないということだ(写真1)。

写真1●デロイト トーマツ リスクサービスの北野晴人パートナー
[画像のクリックで拡大表示]

 SCCを結んで持ち出すということは、欧州と同じ基準や、同じレベルの保護を日本でも行うと約束して持ち出すということだ。つまり、相応の体制をきちんと整えておいて、万が一説明を求められたり調査に入られた際に、きちんと説明できないといけない。それができなければ、本気で制裁金が課せられる。

契約書を結べば良いと軽く考えてはいけないと。

北野氏 契約書はひな形が決まっているので、それなりの手間はかかるが、契約書の作成に莫大な費用がかかるものではない。

 むしろ、その契約を結んだことで日本側が契約上やらなければいけないことを、きちんと行うための体制やルール作りに、いわゆるヒト、モノ、カネが必要になる。

板倉陽一郎弁護士(以下、板倉氏) 米グーグルや米マイクロソフトなどグローバルに事業展開する企業の多くは、いちいち全ての国を細かく調べて対応するわけにはいかないので、全ての国をカバーできるように最初から対応を組み込んでいる。そうすると、世界で一番厳しいEUのルールに合わせることになる(写真2)。

写真2●ひかり総合法律事務所の板倉陽一郎弁護士
[画像のクリックで拡大表示]

次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。