はじめに

EU一般データ保護規則（GDPR）への対応が迫る中で、最初に問題になるのは「ウチは適用範囲に入るのか？」といったことだと思います。
EEA域内に拠点があり、サービス提供しているような分かりやすい組織はGDPR適用に向けて対応を進めればいいのですが、「EEA域内に拠点も無いし、明確にサービス提供や監視などしていないけれども、ガイドラインとか見るとちょっと対応しなければならないかもしれない。。」というような組織も多いかと思います。今回はそのような組織に対して、とりあえずやっておくべき共通事項について解説したいと思います。

GDPR対応の全体フロー

GDPR適用について範囲内に入るか判断に迷う場合でも、個人データ洗い出しなどの事前調査はやっておく必要があります。これはGDPRの適用範囲に入る場合でも入らない場合でも、判断の根拠が必要になるためです。
事前調査結果を踏まえた上で、適用範囲の最終確認とその後の対応を進めましょう。

まずは情報収集から始めよう

GDPRとは何なのか？適用範囲はどのようなものなのか？まずは情報収集から始めますが、なかなか分かりやすくまとまった日本語での情報は少ないのが現状です。（英語ならばイロイロとありますが。。）
基本はGDPR本文と第29条作業部会（Article 29 Working Party）が作成している各種ガイドラインになりますが、全体の概要や日本ではどのような対応が必要なのかなどの情報が知りたい場合には、他の情報も参考にしながら理解していくと良いかと思います。情報収集の種類には以下のようなものがあります。

情報収集のサンプル（個人的主観）

個人データの洗い出しをやっておこう

GDPRの概要がつかめたところで、次は自組織でEEA域内の個人データ取り扱い業務があるのかないのか、個人データの洗い出しを行います。やり方はイロイロとありますが、例えばEEA域内の個人データ取り扱い業務があるのか関係各所に質問票を送付し、必要に応じてフォローアップインタビューを行った上で、管理簿などを使った全体の概要把握を行うなどのやり方があります。

GDPR適用範囲の確認をやっておこう

洗い出した個人データに対して、GDPR適用範囲に入るか確認を行います。
適用範囲に入るか判断が難しい場合は、洗い出した個人データをもとに、プライバシー法もしくは国際法に詳しい弁護士などに相談するという手もあります。
また、EEA域内の個人データ取り扱い業務そのものを見直し、必要最小限の取り扱いにする（もしくは持たないようにする）、コントロールの主体を現地にシフトする、義務や提供サービスをアウトソーシングするなども考慮したほうが良いかと思います。

参考文献

• ・JJETRO「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）
  ・JJETRO「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（実践編）
  ・JJETRO「データ保護影響評価（DPIA）の実施に関するガイドライン（仮訳）」
  ・JJETRO「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（第29条作業部会ガイドライン編）
  • ◦データ保護責任者
    ◦データポータビリティの権利
    ◦管理者および処理者の主導監督当局の特定
  https://www.jetro.go.jp/world/europe/eu/gdpr/
• ・JIPDEC「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則（一般データ保護規則）（仮日本語訳）」
  https://www.jipdec.or.jp/library/archives/gdpr.html
• ・EU一般データ保護規則（General Data Protection Regulation：GDPR）
  http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治

• セキュリティサービス