MENU
BIZLAW BIZLAW
Powerd by LexisNexis®
BIZLAW
BIZLAW Powerd by LexisNexis®

RSS
Google+
Twitter
Facebook
HOME

EU一般データ保護規則 (GDPR)の対応と
日本企業のコンプライアンス戦略

WebTop_KPMG900-607

2018年2月16日、ザ・プリンス パークタワー東京において、KPMGコンサルティング株式会社主催のセミナー「EU一般データ保護規則(GDPR)の対応と日本企業のコンプライアンス戦略」が開催された。5月25日の適用開始が間近に迫る中、会場は超満員となり、講演・パネルディスカッションを通じて多くの有益な情報が参加者にもたらされた。

(制作/レクシスネクシス・ジャパン広告出版部)


GDPRの概要と実務的影響

まず登壇したのは、名取法律事務所パートナー、勝田裕子弁護士。勝田弁護士は、EUにおいて現在適用されているデータ保護指令からGDPRへの変更点やGDPRが企業実務に及ぼす影響について解説した。

「現在適用されているEUデータ保護指令は、EU加盟国に統一的に直接適用されるものではありません。保護指令に沿った法令が各国で制定・適用されていることから国ごとに内容の差があり、ビジネスにとって障害となっていました。GDPRはそのまま加盟国の法体系の一部となり、直接適用される“規則”ですので、EU内で整合性のとれた単一のルールが適用されることとなります。これにより、企業も統一的な対応をとることが可能となります」。

規則に格上げされたメリットを勝田弁護士はこのように語る。とはいえ、企業にとっては、自社がGDPRの適用対象となるのか、対象となる場合にどのような対応が必要となるのかを、よくよく外部専門家も交えて検討する必要がある。 
GDPRの適用対象となるのは、①子会社、支店、駐在所、営業所など、法人格の有無にかかわらずEU域内に拠点を持つ企業、②EU域内に拠点はなくとも、有償・無償を問わずEU域内のデータ主体に商品またはサービスを提供する企業、③EU域内に拠点やサーバーなどはなくとも、EU域内にいるデータ主体の行動を監視する事業を行う企業だ。

「単にウェブサイトが閲覧可能であったというだけで適用対象になるわけではありませんが、例えばEU言語が使用されユーロでも支払いが可能な販売サイトを運営する場合には適用の可能性があります。また、支払いの有無は関係がありませんので、無償のスマホアプリをEUで配信していれば、この場合も適用対象となります」(勝田弁護士)。

また、④EUの個人データに関する処理を受託しているデータセンター事業者やクラウドベンダーといった企業も適用対象となり、①の場合には、日本の本社も「データ管理者」や「データ処理者」として適用を受ける可能性がある。 
データの管理者・処理者にはさまざまな義務が課され、こうした義務に違反した場合には、法外な制裁金が課されるとされている。このとき、管理者や処理者が「適切な技術的および組織的措置」(TOMs)を実施しているか否かが、制裁金の賦課の有無あるいはその額の決定にあたり重要な要素となり得るという。

「違反をすれば、必ず最高額の制裁金が課されるというわけではありません。違反しないための対策と同時に、万一違反を指摘されてしまった場合に合理的な説明責任を果たせるように備えておくべきです」(勝田弁護士)。

日本企業にとって気がかりなのは、域外移転の問題だ。EU支社の従業員データや顧客データなどを本社に移転したいと思う企業は多いだろう。データ保護指令であれ、GDPRであれ、欧州委員会が「十分な保護のレベルにある」とみなした十分性認定のある国であれば、個人データの越境移転は原則可能とされている。この点、日本は認定を得られてはいないものの(2018年3月末時点)、個人情報保護法の改正を皮切りに、2017年の個人情報保護委員会と欧州委員会による共同声明や、2018年2月には個人情報保護委員会がGDPRとの齟齬を埋めるためのガイドラインを策定するとの方針を明らかにするなど、認定に向けた動きは加速している。とはいえ、認定を得られていない状況においては、各企業が自社に合った保護措置を講じ、違反を指摘されないようにしなければならない。

「GDPRでは、データ保護指令下で認められていた拘束的企業準則(BCR)の策定や標準契約条項(SGDPRの概要と実務的影響CC)、標準データ保護条項(SDPC)を設けた契約の締結のほかに、業界団体によるGDPR遵守を目的とした行動規範の策定や、認証機関が当該企業の個人データ保護に関し一定の基準に達していることを認証することで移転を可能とするなど、手段の拡充が行われています。仮に日本が今後十分性認定を受けたとしても、移転が自由となるのはEUで取得したデータを日本に移転することに限られます。EUからアジアの子会社への移転であったり、グループ全体としてのデータのやり取りに対しては適用されませんので、注意が必要です」(勝田弁護士)。

GDPRの適用開始まで、企業に残された期間は少ない。自社の対応に漏れはないかの確認が急がれる。

GDPRは整合性のとれた単一の“規則”となり、企業も統一的な対応をとることが可能

勝田 裕子(Yuko Katsuta)[名取法律事務所・弁護士]
97年弁護士登録。13~16年日本アイ・ビー・エム株式会社チーフ・プライバシー・オフィサー(CPO)。現在、企業法務全般に加え、個人情報保護法対応やGDPR対応などデータプライバシーに関する相談を数多く手がける。

 

今から始める
グローバル企業でのGDPR対応の進め方

続いて登壇したのは、主催者でもあるKPMGコンサルティング株式会社の大洞健治郎氏。同社がメンバーファームとなっているKPMGインターナショナルは、事業モデルや経営管理全般の変革・改善のサ ポートをグローバルで行っている。

大洞氏は主にグローバル企業における情報セキュリティ管理態勢の構築支援やデータガバナンス態勢構築支援などのアドバイザリーサービスの提供に力を注いでいるが、GDPRの適用開始が目前に迫る中、「実際にどう対応プロジェクトを進めたらよいかが分からない」という企業は少なくないという。

大洞氏によれば、GDPR対応が頓挫してしまう原因は、大きく分けると「ゴールが明確に定義されていない」「本社と子会社の役割分担が明確になっていない」「どのように管理ルールを定めるべきかがわからない」「どこまで厳密に対応すべきかがわからない」「リードする部署がはっきりしていない」の五つだという。中でも「管理体制はどうあるべきか(ガバナンス体制の構築)」「個人データをどのように扱うべきか(プロセス整備)」「データのリスクに応じて、どのような安全管理措置を行うべきか(システム対応)」といったゴール設定が重要だと、大洞氏は語る。ゴールを明確にすることで、必要なものは何かが見えてくるのだ。

また、GDPR対応で欠かせないのが、本社による舵取りだ。「プライバシーリスクへの対応は、いまや最重要経営課題の一つです。一度のインシデントが、賠償金・制裁金の支払いや、信用を失うことによる売上や利益・企業価値の喪失、経営者の引責辞任、そして長期にわたる重い事後対応などにつながります。個人データの活用はビジネスチャンスではありますが、チャンスを活かすための管理体制をしっかりと整えなければなりません。本社がプロジェクトを主導し、本社の役割と子会社の役割を十分な協議によって整理し、明確にしたうえで、設定したゴールに向かってグループ全体で取り組んでいく必要があるのです」(大洞氏)。

KPMGコンサルティングでは、企業の要望に応え、GDPR対応プロジェクトに漏れがないかを簡易的に診断するチェックリストをホームページで公開している。自社の対応状況を把握し、残された時間でいかに効率よく体制を整えるかのツールとしても活用できる。 既に対応を終えている企業にとっても、現状の対応で問題ないかを確認する、良い指標になるのではないだろうか。

設定したゴールに向かってグループ全体で取り組んでいく必要がある

大洞 健治郎(Kenjiro Obora)
KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリーディレクター

 

パネルディスカッション

zentai_KPMG540-360

講演の後は、名取勝也弁護士をコーディネーターとし、大洞氏とフランスに本社を置くダノンジャパン株式会社の中川裕一氏、スイスに本部を置くフィリップ モリスジャパン合同会社の倉本健氏をパネリストに迎え、参加者から事前に募った質問事項をもとにパネルディスカッションが行われた。

日本本社がどのようにGDPR対応をハンドリングすべきかは、多くの日本企業が抱える悩みとなっている。この点に関連し、倉本氏は「GDPRに限らず、法改正に伴って何らかの運用の変更が行われる場合、グローバル本社がしっかりと法解釈を行い、実現可能なプログラムを構築して、各国の拠点に“こういう場合はこう動け”という細かい指示を出してきます。ですから、運用する側としては動きやすいといえます」と語る。欧米企業では、グローバルにまたがっているとしても一つの企業であるという観点から、本社の指示で多くの現地法人が同じように動くと、名取弁護士は指摘する。また、誰が取り組んでも同じ結果になるように、さまざまな行動指針たるスタンダードが本社によって決められ、各国の拠点はその遵守を指示されるという。大洞氏は「理想は“決められた手順に従って対応している限りにおいては、法令違反にはならない”という状況を作り出すことです。このためには、自社の“スタンダード”を本社が決め、各国拠点に守らせるという欧米企業の姿勢は、日本企業にとって見習うべきものといえるでしょう」と指摘する。

近年は個人データ保護に関する法改正が各国で行われ、域外適用を定めるものも少なくない。こうした各国の法規制を本社が一元的に把握し、各拠点に対応方法を指示するという管理体制が構築できれば、各拠点で対応にずれが生じることも防ぐことができる。「日本企業のみなさんは、もっと自信を持って各拠点に対して本社の意思表示をしていいと思います。各拠点にとってもそのほうが動きやすいのです。思い切って前に進んではいかがでしょうか」と、中川氏は日本企業の背中を押した。

GDPR対応においては、現場への知識・意識の浸透が欠かせない。こうした教育・研修について、倉本氏は「“知識”を根付かせるのであれば、eラーニングを定期的に行うことが効果的でしょう。しかし、“意識”を根付かせるのであれば、クラスルームトレーニングなどで“なぜこうした対策が必要なのか”の気づきを促すことが必要です。トレーニングを通じて根付かせたいものが何かを明確にしたうえで、内容を吟味しなければなりません」と語る。中川氏は、「切り口は異なりますが、個人情報保護に関する監査を受けてみるという方法も有効かもしれません」と指摘する。欧州ではデータプロテクションの監査は「データプライバシーの保護」と「データブリーチ(個人データの漏洩)を防ぐ」の両面から行われ、契約書の条項のレビューにとどまらず、実際にどのように管理されているかという技術的な側面まで細かにチェックされるという。「監査を受ける側としては胃がキリキリするような経験ではありますが、欧州の意識を身をもって知ることができますので良い経験になると思います」(中川氏)。

また、個人データの管理ルールを策定するにあたっては、会社ごとに、自社のビジネスに沿ってリスクを洗い出し、対応の優先順位やリスクテイクなどの判断を行っていかなければならない。この点、EUに本社を置く2社にはどのような基準があるのだろうか。倉本氏は「本部が作成したマトリックスやチェックリストに従って判断しています」と語る。やはり、この点においても本社の強いリーダーシップが見て取れる。中川氏は「そこまで判断基準が細かく策定されているわけではない」としながらも、「欧米企業は、レピュテーションリスクに非常に敏感だと感じます。仮に法律上は問題がない場合でも、レピュテーションリスクが大きければ優先的に対処するようにしています」と語った。大洞氏は、日本企業が判断基準を策定するにあたっては、GDPRの「プライバシー保護影響評価(DPIA)」の考え方や、各国の個人情報保護当局が出しているガイドラインなどを参考にしてはどうかと指摘する。「既にみなさんは個人情報保護法の対応を経験していらっしゃいます。対応手順や方法という点では、大きな違いはありません。適用開始が目前となった今、恐れることなく一歩を踏み出すことが重要です」(大洞氏)。

GDPRの適用まで、残りわずか。300名を超える参加者が詰めかけた3時間半のセミナーは、対応に苦慮する企業の背中を押すものであったに違いない。

 

GDPR対応のハンドリングは、日本企業が抱える悩み

名取 勝也(Katsuya Natori)[名取勝也 名取法律事務所・弁護士]
86年弁護士登録。現在、オリンパス株式会社社外監査役等を務めている。
主に、IT関連法、紛争処理、コーポレートガバナンス、国際取引、コンプライアンスを取り扱う。

自信を持って本社の意思を示した方が各拠点は動きやすい

中川 裕一(Yuichi Nakagawa)
ダノンジャパン株式会社 法務・コミュニケーション部
リーガル・レギュラトリー・コンプライアンス
ジェネラルカウンセル兼クラスターコンプライアンスオフィサー

“知識”を根付かせるのであれば、eラーニングを定期的に行うことが効果的

倉本 健(Ken Kuramoto)
フィリップ モリス ジャパン合同会社 倫理・コンプライアンス クラスターヘッド
日本、韓国、中国、台湾




ページトップ