【GDPRへの対応】取得、処理、域外移転
本ページでは、GDPRへの対応を行うにあたって、具体的にどのようなことを行うべきかを解説します。
GDPRはEEA域内の個人データを適切に扱うことを目的としたものですが、大きく分けて3つの規制ルールを設けています。
- 取得
- 処理
- 域外移転
取得について
- 個人データの取得にあたり、企業は情報管理者(Controller)として当該管理者の身元や連絡先、処理の目的、第三者提供の有無、保管期間、情報主体者の有する権利などについて、明確かつ分かりやすい表現により情報主体者(Data Subject)に通知しなければならない。
- 企業が上記に関して同意を得る際には明確な取得方法を採用しなければならず、また情報主体者である本人が同意を自由に撤回することができるよう、同意の付与時と同程度の容易性をもって撤回できるような仕組みとする必要がある。
- 個人データを情報主体者から直接取得していない場合、企業は当該情報の入手先を本人に通知しなければならない。
処理について
- 個人データの処理および保管にあたり、適切な安全管理措置を講じなければならない。
- 処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない。
- 従業員数が250名以上である企業や特殊な種類の個人データ処理を実施している企業などでは、個人データの処理に関する記録を書面で残さなければならない。
- 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し72時間以内に通知しなければならない。
- 定期的に大量の個人データを取扱う企業などでは、データ保護官(Data Protection Officer)を任命しなければならない。
域外移転について
- EEA(欧州経済領域)の域内から域外への個人データの移転は原則として禁止され、欧州委員会によって適切な個人情報保護制度を有していると認められていない国への情報移転にあたっては、企業は適切な施策のもとで一定の条件(※)を満たす必要がある。
※拘束的企業準則(Binding Corporate Rules)の策定、標準契約条項(Standard Contract Clauses)の締結など
項目の解説
GDPR対策-取得とは?
ユーザーの情報(クッキーなど)を取得する際、その情報の利用目的、管理方法などを明示し、その上でユーザーに同意してもらうことで初めて取得する仕組みを作る必要があるということです。
よく見られる例としては、サイト訪問者に対しクッキーの利用法などを明示したダイアログを表示し、ユーザーが同意ボタンを押すことでダイアログを非表示にし、クッキーの利用を開始するといったものです。
また、ダイアログには企業のクッキーの取り扱い方法など詳細に記載したページ(クッキーポリシー)へのリンクを設置し、同意の前にユーザーがそのページにアクセス可能な形式を取る必要もあります。
GDPR対策-処理とは?
取得したクッキーを適切かつ安全に管理する必要があるということが書かれています。
ここで注目すべきは、「定期的に大量の個人データを取扱う企業などでは、データ保護官(Data Protection Officer=DPO)を任命しなければならない。」という部分で、多くのユーザーを抱える大企業の場合は、データの保護に関する知識や専門性を有する責任者を任命する必要があるということです。
現状日本はGDPRの対象国ではありませんが、ある程度の大企業の場合はEEA域内のユーザーの情報を含んだ大量の個人データを取扱っている可能性があるため、DPOの設置を検討する必要があります。
GDPR対策-域外移転とは?
EEA域内から個人データを他国へ移転することは原則として禁止されており、移転する場合は情報取扱い体制の整備と、必要な契約を結ぶ必要があるといったことが書かれています。
本ページでGDPRへの必要な対応について記載しましたが、これはあくまで一例となっており、詳細に関しては専門機関や弁護士などの指導を仰ぎ、正確な情報のもとで進めていく必要があります。