【GDPR】EUによる日本の十分制認定と今後について（６）

1月23日の日本の「十分制認定」を巡る誤解に危機感を感じて、Noteに長々と（１ヶ月間も引っ張りながら）書き連ねてしまったが、日本の個人情報保護法への対応との考え方の違いを念頭に、企業として取るべきGDPR対応について、私の実務経験をベースに、この回でまとめてみたい。

GDPR対応上、企業として対応事項を大きく分けるのは、消費者向けにビジネスを行うBtoC企業か、法人間取引を中心とするBtoB企業なのかである。

BtoC企業の場合

インターネットを通じたEC事業を展開する場合には、Website上でのPrivacy PolicyのGDPR対応および、個人データのフローについて処理の目的別に整理した上で、以下のGDPRで定められた要件に沿って、主に以下の対応が必要となる。

Processing Activitiesの記録 (Art. 30): Controllerによる個人情報の処理の記録の作成・保管義務

Data Protection Impact Assessment (Art. 35): 「自然人の権利及び自由に対する高いリスクを発生させるおそれがある」情報を取り扱う際には、取り扱い開始前に個人データ保護への影響の評価を実施する

Joint Controller Agreement(Art. 26 (1))： 各共同管理者の義務・責任に関する取り決め

Measures of safeguard for the transfer of Personal Data outside the EU/EEA (Art. 46): EU/EEA域外への個人情報の移転に関する保護策として、Standard Contractual Clauses締結する。なお、移転先がControllerかProcessorかで、EUの定めるひな形が異なる。

Model contracts for the transfer of personal data to third countries

データ主体へのPrivacy Policyの開示(Art.13, 14)：Webサイトやアプリを通じどのようにPersonal Dataが取得され利用されるのかのPrivacy Policyを策定し、利用者に分かりやすく掲示

Consent declaration(Art. 6 (1) a)：Webサイトやアプリの利用者からの同意の取付け（同意を有効するにはArt.7に定めれた厳密な要件を満たす必要に注意）

Data Protection Officer(Art. 37)：メイン業務が大規模なデータ主体の定期的かつシステマチックなモニタリングを必要とする場合や、EUの各国の国内法上要求される場合には「データ保護管理者（DPO）」の設置が必要

Data Breach Guidelines (Art. 33, 34)：データ侵害時に72時間以内に当局への報告が義務付けれている他、リスクが高い場合にはデータ主体への通知が必要となる。実際の対応手順を定めたガイドラインを策定する

BtoB企業の場合

BtoC企業に比べて、対象が従業員を対象とした対応に限られる。簡単にまとめてしまうと、最低限クリアすべきGDPR対応は、①処理活動記録の整備、②域外移転する個人データについてのSCC（標準契約条項）の締結、そして③社内規則の整備の３点の対応事項に集約できる。

RPA（処理活動記録）の整備：処理活動記録は、データ処理のトランザクション単位での記録でなく、処理の目的単位でまとめた個人データの管理台帳のことである。英語の「Records of Processing Activities」からの直訳であるが、EU個人データの漏洩事件が発生した際、GDPRの監督当局がまず問うのが、この「Records of Processing Activities」であり、整備されていない時点でGDPR違反を問われることになる。事故時の対応を、大きなマイナス状態から開始するリスクを低減する為にも、ラフなものであっても整備必須である。

SCC（標準契約条項）の締結：一般のBtoB企業では、EU/EEA域内と域外にある拠点やグループ企業を網羅したIntra-Group SCCを締結しておくことが、十分制認定の有無にとらわれず、処理の目的を確認しんがら、しっかりとしたデータ処理内容の管理が可能となる。

社内規則の整備：処理活動記録やSCCの整備が、企業のおいて機関決定された対応必須の業務と位置付ける為に、整備をしておく必要がある。企業としてGDPR対応体制の外形基準を満たすための対応ともいえる。

最後に（まとめ）

如何でしたでしょうか？最後は、どうしてもGDPRの条文に基づく、専門的な解説となってしまいましたが、日本が十分制認定を取得したということは、上記のような対応が当たり前に対応可能な国であると欧州からお墨付きを得たということなります。

今後は、２年後に日本の十分制認定が実態を伴っているのかの監査を欧州から受けることになり、認定継続の可否が判断されます。

私個人は、あと２年で、一般的な企業が、上記のような対応を常識な事項として対応できるようになるとはとても思えません。よって、十分制認定をそもそも無いものと思って対応していくことのほうがよほど、企業リスクの管理の観点から、安全確実な対応と言えるのではないでしょうか？

結論としては、日本の十分制認定は、日・欧EPAの一部として位置づけられ、たぶんに政治的な要因で決まったと見ておくべきでしょう。ITプラットフォーマの勝ち組であるGAFAを狙い撃ちにしている状況ですが、今後は、5G時代の主役となる様々な機器から生成されるIoTデータの中でも健康・医療ビジネスに結び付くビッグデータの取り扱いに長けた企業が狙い撃ちにされていくものと考えられます。あとは、MaaS（Mobility as a Service）という言葉に代表されるように、人の持つスマホや移動手段から収集される位置情報（location data）を使ったUBER等のモビリティ・サービス・プロバイダーへの規制が強まっていくことが考えられます。

そのような観点からも、GDPR対応は注視していくべきポイントを思われます。

（以上）

第１回からご覧頂ける方はこちらから。