EU(欧州連合)は2018年5月25日、「一般データ保護規則(GDPR:General Data Protection Regulation)」を施行する。GDPRは欧州の規制だが、日本企業も規制の対象となり、個人データ保護違反が発覚した場合、多額の制裁金を科される可能性がある。

GDPRの施行が目前に迫るなか、まだ「自社が対象なのか分からない」、「そもそも何をすべきか分からない」という日本企業も多い。そこで「GDPRの対象になり得る企業」「企業が取るべき対策」「ビジネス上の留意点」「意識すべき業種/業界」「企業がとるべき体制」という五つのポイントをまとめた。

EUに子会社がなくても適用される?GDPRの対象となる企業は

 「GDPRはプライバシー保護の強化を目的としており、個人データの保護に違反した場合に多額の制裁金を科される」といった説明を聞いても、まだピンとこない人が多いかもしれない。日本企業には「GDPRはEUの法律。EUに子会社もなく、EUの企業との取り引きがない我が社には関係ない」と考えているところも少なくないようだ。

 しかし、そうとは言い切れない。まずは、どのような企業がGDPRの適用対象となるか細かく見ていこう。

 直接影響を受けるのは、EU加盟諸国28カ国に3カ国を加えたEEA(欧州経済領域)31カ国、つまりEEA域内に子会社や支店などの拠点を持つ企業だ。そしてEEA域内の個人に商品やサービスを提供している企業や、EEA域内の企業から個人データの処理を受託している企業も対象となる。

 ここで注意すべきは、「EEA域内の個人に商品やサービスを提供している」企業だ。例えば、「ドイツ人が、自国から日本のホテル予約サイトで、日本国内宿泊先を予約した場合」はどうだろうか。

 この場合は、EEA域内に所在する個人が、サービスを利用するために利用したホテル予約サイトの運営会社がGDPRの対象となる。そのドイツ人が自国から日本のホテルや旅館にダイレクトに予約してきたら、そのホテルや旅館がGDPRの対象となる。

 ここで確認しておくべきポイントがある。「GDPRは、国籍にかかわらず『EEA域内に所在する人』の個人データを保護対象としている」(インターネットイニシアティブ 経営企画本部ビジネスリスクコンサルティング部長の小川晋平氏)ことだ。EEA域内に所在する人のプライバシーを侵害しているかどうかがポイントであり、その個人データの取得から破棄までのライフサイクルを管理しなくてはならないのだ。

 反対に、先ほどのドイツ人でもEEA域内に所在していなければ対象とはならない。「例えば、ドイツ人が日本を訪れて、『日本でオプショナルツアーを申し込んだ場合』は適用外になる」(小川氏)。あくまで重視するのは、個人がどこに所在しているかということだ。

 上の例から考えると、EEA域内の個人に商品やサービスを提供している企業は数多いだろう。日本企業が多言語対応のウェブサイトを運用している場合は要注意だ。

 さらに、いわゆる「越境EC」を展開し、ジャパンブランドの逸品をネットで販売している企業や、EEA域内への輸出を手がけている企業なども、EEA域内の個人からの申し込みや注文があった場合など、GDPRの対象となる可能性が高くなる。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。