規制適用受ける日本企業は


日本ではどのような企業がGDPRの適用を受けるのか。大きく2つのパターンがある。最も典型的なパターンは「EEA域内に子会社や支店などの拠点がある」企業。すでに現行のデータ保護法の適用を受けており、5月25日の施行以降は、EEA域内の拠点においては旧来のデータ保護法とGDPRとの差分を把握して、その延長で対応すればよい。同時に日本国内の本社拠点でも、EEA域内の拠点から日本国内の拠点への個人データの移転において新たな体制づくりが必要だ。

もう一つのパターンは「EEA域内にいる個人に対してインターネットなどを通じて商品やサービスを提供している企業」。この場合、EEA域内に拠点がなくとも、一定の要件を満たす個人データの取扱いにGDPRが適用される。これまで旧来のデータ保護法とは無関係だった企業でも、今回のGDPR施行によって初めてEUの個人データ保護法が適用される企業が出てくることがあり得る。規模の大小や営利・非営利を問わず適用されるので、インターネット等を通じてEEA域内の個人データを取り扱う企業は、GDPRの適用の有無に注意を払う必要がある。

もっともインターネット通販のあらゆるサイトが直ちにGDPRの適用を受けるわけではない。「GDPRでは、言語・通貨・顧客への言及といった要素を考慮して、『EEAに対する商品やサービスの提供の意図が明白』と言える場合に域外適用があるとされており、自社の事業の態様が要件を満たすかどうかを見極めることが肝要だ」と石井氏は冷静に検討・判断すべきと促す。


現地データ保護機関に相談する


GDPRの概要を把握できたら、自社内で取り扱うデータのうちどの範囲で適用の可能性があるかを個別に検証する必要がある。取り扱う個人データには、顧客情報だけでなく、取引先担当者、従業員、採用候補者のデータまで含まれる。日本国内のみで事業活動する企業であっても、例えば展示会に行けば海外企業の出展ブースも多く、EU域内の担当者と名刺交換をすることもあるだろう。厳密にはEEA域内の個人データを全く持たない企業の方が少ないとも言える。適用の有無をはじめとして、わからないことがあれば、専門家に相談することになる。

石井氏が勧めるのは「EEA域内の現地のデータ保護機関から直接情報収集すること」。「例えば日本の個人情報保護法に関してわからないことがあれば、当委員会の個人情報保護法相談ダイヤルに問い合わせる。それと同じように、日本企業も、GDPRに関しては、その解釈適用を担うEEA各国のデータ保護機関に直接問い合わせるのが確実で一番の近道」(同)という。EU域内に拠点を有する企業であれば、当該拠点のある国のデータ保護機関に問い合わせ、EU域内に拠点を有しない企業であれば、商品・サービス提供のターゲットとする国のデータ保護機関に問い合わせることも、有効な手段といえる。

個人情報保護委員会のGDPR関連情報ページ(https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/)。サイトではEEA域内の各個人データ保護機関が配信するGDPR関連情報へのリンクも張られている