本文へスキップします。

  • LINEで送る
  • このエントリーをはてなブックマークに追加

INITIATIVE「自分のキャリアは自分で創る」WEBマガジン

HR 2018.07.18 EU一般データ保護規則「GDPR」~グローバル人事における個人情報の留意点

文:株式会社パソナグループ 執行役員 法務室長兼内部統制室長 梅北卓男

個人情報の取得や漏洩に関する話題が大きなニュースとなる中、EUでは新しい管理規則として「GDPR」が適用開始されました。今回は、GDPRの目的と特徴、日本企業が対応を行う際に配慮すべきポイントなどを整理してお伝えします。

EU一般データ保護規則「GDPR」の規則の内容は?


EU一般データ保護規則:GDPR(General Data Protection Regulation)とは、欧州連合(EU)が制定した新しい個人情報の枠組みで、2018年5月25日に適用が開始されました。

個人データ(personaldata)の処理と移転に関するルールを定めた規則で、既存のEUデータ保護指令が強化され、個人の権利や規制も厳しくなり、巨額の制裁金(最大で企業の全世界売上高〔年間〕の4%または2000万ユーロのうちいずれか高い方)などのペナルティも課されています。

GDPRが制定された背景には、扱われる個人データ量が爆発的に増えてきたことがあります。インターネットの発達やSNSの登場により、大量の個人データが移動し、配布・コピーされる危険をはらむという環境変化に対し、世界的な規制対応が追いついていない現実があります。そこに、EUが先進的に対応したのがGDPRと言ってもよいでしょう。

GDPRは、大きく二つの柱からなっています。一つは、個人データのEU域外移転に対する厳しい制限、もう一つは、情報主体(情報を持っている個人本人)の権利が強化されている点です。

情報主体の権利として象徴的なのが「データの削除権」です。これは、利用しているサービスを脱会した場合などに、すぐに自分のデータを消すように利用者側が請求できる権利です。

また、情報主体の権利として、あわせてデータポータビリティの権利も保証されています。サービス提供側は、契約期間途中であっても、権利を行使されれば、利用者から提供されたその本人に関する個人データについては、今までの履歴も含めたすべての情報を、利用者に対して電子データで提供しなければなりません。利用者はそれを持って別のサービスに移行することができるというものです。

日本の個人情報保護法との違いとして、GDPRにおいては、同意の撤回が明文上認められています。また、センシティブ情報(宗教や政治、信条、健康病歴など)については強固に保護されます。

この点、日本の個人情報保護法でも、2015年の法改正により要配慮個人情報として規定がなされ、取得時に本人の同意が必要になるとともに、オプトアウトによる第三者提供が禁止されました。

一方、GDPRのセンシティブ情報の規定では、個人データの「取得」・「提供」といった場面に限定されず、その取り扱い自体が原則として禁止されており、日本の個人情報保護法よりも強固な保護がなされていると言えます。また、GDPRでは、個人の性的指向と労働組合への加入状況の情報もセンシティブ情報に含みます。

この二つは日本の要配慮個人情報には含まれませんが、今後、GDPRが適用される日本企業においては、取得することが難しくなると考えるべきでしょう。


GDPR対応時の注意ポイントは?


各企業は、日本の個人情報保護法の要求に基づく規程に加えて、GDPR対応の個人情報保護規程を作る必要があります。
また、データを収集する際には、情報主体に対して目的・責任者・記録の保存期間などを通知しなければなりませんが、自社内で該当する業務を指定し、まとめてホームページ上にGDPR対応版のプライバシーポリシーを制定・掲示しておけば、個別通知の必要はなくなるため、最低限の対応の一つと言えるでしょう。

十分性認定を受けていないEU域外の国に個人データを移転する場合(例えば欧州の支社から日本の本社に現地の従業員のデータをもらう場合など)は、主に三つの方法によって行われます。
一つ目は移転によって生じ得るリスクについて説明をした上で本人の同意を得ること、二つ目は移転元と移転先との間でEU所定のSCC(Standard Contractual Clauses)という域外移転に関する契約書を結ぶこと、三つ目はBCR(Binding Corporate Rules)と呼ばれる、グループ企業間での一定のルールについて承認を得ることです。

ただし、雇用関係にある従業員と会社の場合、「従業員の同意」については、雇用関係上会社側が強いため、任意の同意と認められない可能性もありますので、SCCという契約書を結ぶのがベターでしょう。

また、EU圏内に拠点がない場合、EUに在住する代理人を選任しなければなりません。事件・漏洩などの際、EU当局との折衝はこの代理人を通さなければならないためです。

さらに、大規模なデータ主体の監視(例えばクッキーで個人情報を取得する行為)を定期的かつ体系的に行うことが中心的な業務となる業者などでは、準拠状況を定期的にチェックし、運用に関してアドバイスするData Protection Officer(DPO)を選任する義務も発生します。
これは、直接代表者から指揮命令を受け、会社には解雇権もない独立した職務です。社員でも良いのですが、利益相反が生じうるため、個人データの取扱いの目的及び方法の決定に関与する可能性のある役職(人事部長、IT部長、法務部長など)が兼務することはできません。

センシティブ情報などを多く扱う企業では、データ保護影響調査(DPIA)という義務も課されます。GDPR対応の個人データの業務処理をするにあたって、どういったリスクがあるのかを事前に調査し、レポートする義務です。

気を付けていただきたいのは、EUと直接取引がない場合も、必ずしもGDPRと無関係ではないということです。例えば、グローバル企業から受託した人事業務で、欧州から取得した人事データを扱う場合は、間接的な受託会社もGDPRを遵守する必要があります。

そのため、GDPR対応の要否を調べるために、全業務でデータの棚卸しが必要になります。この作業を、GDPR対応では「データマッピング」と呼びます。どの部門・事業でEUのデータを扱っているか、どこのサーバに保存し、どういう処理をしているかなどを棚卸しして、一覧表にする作業が必要になります。
データを扱う量は企業によって様々です。大量にEUのデータを扱う会社もあれば、数十件しかないということもあります。それによって、最小限の対応でよいのか、専門家に依頼すべきかどうかなど、会社による判断が必要でしょう。

今後は、できる限り早めに対応することが重要です。一通りの規定や契約書雛型を作った後、運用がうまくいっているかについての定期的なチェックも必要です。EU当局の取り締まりの動向や通達などを常にチェックし、こまめに対応していくことが求められるでしょう。

まとめ:GDPR適用開始に伴う主な対応事項


プライバシーポリシーの制定
GDPR対応個人情報保護規程の制定
GDPRの基準に沿った業務委託契約書(Data Processing Agreement)の締結(データ処理を委託する場合)
EU個人情報を域外移転する場合、移転元と移転先で域外移転に関する契約書(SCC: Standard Contract Clause)の締結
EU代理人(EU在住)の選任義務(EU圏内に拠点が無い場合)
データプロテクションオフィサー(DPO)の選任(一定の場合のみ)

(2018年7月発行「HR VISION Vol.19」より)

新着記事

  • LINEで送る
  • このエントリーをはてなブックマークに追加