GDPR（EU一般データ保護規則）改正の主なポイント

欧州連合（EU）では、2018年5月に「一般データ保護規則（GDPR）」の執行を予定している。企業実務の観点から、この規則の適用範囲が注目される。

これまでEUでは「EUデータ保護指令」に基づき、EU域内に拠点や設備を有している企業にのみ個人データの扱いへの規制が行われてきた。新たに施行されるGDPRでは、EU域内に拠点を持たない企業でも域内の個人データを扱う場合は適用対象となりうる。

• 適用対象範囲の明確化（EU域内に拠点を持たない企業も対象）
• 特定企業等におけるデータ保護責任者の任命の要求
• 個人データの国際移転に係る要求事項の具体化
• 本人同意の立証責任の要求
• 個人の権利侵害に係る通知義務等の具体化
• 忘れられる権利の明確化
• データ・ポータビリティーに関する権利の明確化
• ダイレクトマーケティングの拒否権の明確化
• プロファイリングによる判断を受けない権利の明確化
• 16歳未満の個人データの取り扱い制限

同規則では、ネット社会に対応したプライバシー保護規定も幅広く設けられている。例えば、データの消去を求める「忘れられる権利」や、管理者から自らのデータ一式のコピーを汎用的な形式で入手する権利である「データのポータビリティーに関する権利」、企業の保有する個人データによって個人の属性が自動判断され、サービス等の差異化が行われることを拒否する「プロファイリングを受けない権利」などが挙げられる。

EUにおいては、個人データの国際間移転にも注意が必要だ。EU域内での個人データ移転は認められているが、特定の国を除き、域外への移転は現在も原則として禁止されている。これは新規則施行後も変わらない。企業が個人データの移転を行う場合には、本人の明示的な同意を得ておくか、データの転送先での適切な管理措置の保証が求められる。

この他GDPRでは、データ保護責任者の任命やセンシティブ情報を大量に取り扱う場合の事前リスク評価など、企業には様々な業務が課せられる。対応に時間を要するものもあり、法令要件を分析して関連業務プロセスの見直しなどを早期に検討することが必要だ。

KPMGコンサルティング
ディレクター　大洞 健治郎

日経産業新聞　2016年11月1日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。