Connect with us
Connect with us
tuv-jp-blog-banner

あなたの会社は大丈夫ですか?EU新データ規則(GDPR)対応

Posted by TUV Rheinland Japan on 2018/06/10 13:57:33
TUV Rheinland Japan

2018525日に欧州連合(EU)は個人情報保護の新ルール「一般データ保護規則(GDPR)」を施行しました。GDPR対応をしなければならないのは、グローバルにビジネスを展開している大企業だけが対象で、自分の会社は対象ではないだろうという認識の方が多くいらっしゃるようです。

また、自分の会社は関係があるかもしれない、と気にはなっているがまだ何を確認すればわからないという方もいらっしゃるでしょう。ところが日本を含めた世界の多くの企業が対象で、違反すると巨額の制裁金が課せられますから注意が必要です。そもそもGDPRとは何でしょうか?どのような対策が必要で、どのような企業が対象なのでしょうか。

ThinkstockPhotos-808157554

1. GDPRとは?

GDPRは、さまざまなデータのやりとりがグローバル化する中で、個人のデータを本人の同意なしに使われることから保護するために策定されました。

GDPRの根幹には、個人データの保護を基本的人権として明示されています。個人データとは、名前や住所、メールアドレスにとどまらず、クレジットカード情報、クッキー、IPアドレス、位置情報など多岐にわたります。従業員や顧客などの、これら個人データを域外にいる第三者に見られることを原則禁止としています。

重要なのは、EU域内にある個人データは国籍や居住地を問わず対象になるということです。例えば、日本人の旅行者がEU域内で使用したクレジットカード情報も対象となります。GDPR対応が必要な企業にもかかわらず、対応を何もしておらず、何らかの情報漏洩事故などが起こると、最大で世界年間売上高の4%もしくは2千万ユーロ( 約26億円)の高い方を上限とする制裁金が課せられますので、早めに対応に着手することが必要です。

GDPR_fig1

◆取得と活用の同意

個人データを取得する場合は、情報の利用目的について同意を得なければなりません。

◆管理

個人データを取り扱う全事業部門が、暗号化や情報にアクセスできる人を絞るなど、安全対策のプロセスを構築する必要があります。またデータ処理の透明性と記録保持が求められます。

◆通知

万が一、個人データが流出したことを発覚した場合は、EU当局に72時間以内に通知する体制が整っていることを求められています。

◆削除

個人が「忘れられる権利」を行使して、個人データの削除を求めた場合は、要求に応じて削除する必要があります。

◆データ保護責任者(DPO)

適切に個人データを管理しているか、監視役として社内にデータ保護責任者を選定します。

◆巨額の制裁金

違反した企業には、最大で世界年間売上高の4%もしくは2千万ユーロ( 約26億円)の高い方を上限とする制裁金が課せられます。

 

2. どのような企業が対象でしょうか?

EUに子会社や支店がある企業だけが対象なのでは?と考えられている方も多いようです。EUにサービスや製品を販売している企業も対象になりますし、EUに拠点がなくてもEU市民の個人データを取得している企業も対象になります。注意しなければならないのは、EU域内に所在する個人データを処理したり、移転したりする企業であれば、企業がどこの国にあっても対象になるという点です。


例えば、どのような企業が対象なのでしょうか。

a) EU域内に拠点があり、個人データの処理をしている
b) EU域内に拠点はないが、個人データの処理をしている
c) EU市民にサービスを提供、または製品を発売している (ウェブサイト経由も含む)
d) EU域外から直接EU域内の個人データの処理をしている
e) EU拠点の従業員の人事データを日本で管理している
f) EUの展示会に出展し、EU市民の個人データを取得している    ・・・ など
もしかしたら、自分の会社は、GDPRの対象企業かもしれないと思われたり、そうだとしてもどこから手をつけばよいかわかならいなど、お困りごとがありましたら、ぜひテュフ ラインランドジャパンに一度お問合せください。

3. GDPR対策のお手伝い
テュフ ラインランド ジャパンの「GDPR支援サービス」

テュフ ラインランド ジャパンは、貴社のGDPR遵守を評価し、EU域内の個人データを安全に処理するためのプロセス構築をお手伝いします。

GDPR支援サービス 概要と流れ

GDPR遵守をするための準備状況を評価し、GDPR対応計画を提案します。

GDPR_fig2

 

ステップ1:GDPRギャップ分析

GDPR要求事項に対して貴社が何をどこまで対応できているのか、何ができていないのかギャップ分析を行い、現状を評価します。

ステップ2:GDPR対応計画の策定

ギャップ分析を通じて貴社の現状を把握し、GDPR遵守のためにどこが改善すべきなのかを確認していきます。その結果をもとに、GDPR対応計画を策定し、具体的な実行項目とスケジュールをご提案します。

ステップ3:GDPR対応計画の実行

GDPR対応計画を策定することで、GDPRを遵守するにはいつまでに何をすべきか、取るべき行動が明確になります。ご提案した計画に基づいて実行していただきます。必要に応じて、テュフ ラインランド ジャパンがサポートします。

貴社の法務、IT、情報セキュリティ、情報ガバナンスなど各部署の担当者様と協力してサポートします。まずは、自社の個人データの管理方法の確認とデータの洗い出しから始め、GDPR対策の構築のお手伝いをします。

お問い合わせ:
カスタマーサービス(TEL:045-470-1850 E-Mail:  info@jpn.tuv.com

Topics: IoT, tuv.communication, サイバーセキュリティ, GDPR, 個人情報

© 2022 TÜV Rheinland