COMWARE PLUS プラス・サムシングを大切なお客さまへ

メールマガジンのご登録
ポスト
        
        

「約27億円」という多大な制裁金、企業によっては倒産の危機も

このようにGDPR施行によって、EEA域内に拠点を持たない日本企業でも大きな影響を受けることが想定されます。そのインパクトをさらに大きなものにしているのが、違反した際に科せられる多額の制裁金です。

制裁金の上限額には、前年度の全世界における売上高の4%、または2000万ユーロ(1ユーロ=約133円計算で約27億円)のいずれか高いほう、前年度の全世界における売上高の2%、または1000万ユーロ(同、約14億円)のいずれか高いほうと2種類があり、どちらが適用されるかは違反内容で決まります。「全世界の売上高」というのもポイントで、GDPRに違反した会社は全世界のグループ会社全体に制裁が科されます。

例えば全世界年間売上高が500億円の企業では、売上高の4%は20億円ですが、2000万ユーロ(約27億円)のほうが高いので、制裁金の上限は2000万ユーロとなります。

この約27億円という制裁金のインパクトを考えてみます。中小企業庁によると2010年以降、国内の中堅・中小企業の売上高経常利益率は平均約2.5%で推移しています。仮に年商500億円の企業なら経常利益は約12億5000万円です。そこに約27億円の制裁金が科せられれば、倒産しかねません。

同様に中小企業庁によると大企業の経常利益率は2010年以降、平均で約4.5%です。年商5000億円の企業であれば、経常利益は225億円です。約27億円の制裁金で、経常利益は10%以上のマイナスとなってしまいます。もちろん、違反による影響は制裁金だけではありません。企業ブランドと評判の失墜も考えられます。

GDPR施行目前、対応へ向けて日本企業は何をすべきか

違反例を挙げると、売上高の4%、または2000万ユーロが適用されるのは、「個人データの処理に関する原則に違反した」「監督機関からの命令に従わなかった」などのケースです。売上高の2%、または1000万ユーロが適用されるのは、「情報漏えいの発生時に監督機関へ72時間以内に報告しなかった」「データ保護責任者の任命が義務付けられているにもかかわらず任命していなかった」などのケースです。

図2:2種類の制裁金と違反ケース

2種類の制裁金と違反ケース

では、GDPRに適切に対応し、違反と見なされないためには何を実行すべきでしょうか。まずデータの「移転」に関しては、上述したとおりデータの物理的な移転だけでなく、EU内の個人データへ日本からアクセスできるケースも含まれるので、日本国内でも注意が必要です。

GDPRで個人データの移転が許されているのは、十分にデータ保護を実施していると認められる国や地域のみに限定されています。日本には個人情報保護法があり、個人情報保護は強化されていますが、残念ながら現時点ではGDPRにおいて「十分なデータ保護を実施している国」とは認められていません。

そのため日本へ個人データを移転するには、「拘束的企業準則(BCR)」を整備するか、もしくは「標準契約条項(SCC)」を締結する方法が一般的です。BCRは、自社グループ内の企業間で個人データを移転する際のルールです。これを運用することで、グループ内での個人データ移転は自由に行えます。ただしグループ外の企業とのデータ移転は行えません。

一方のSCCは、個人データの移転元と移転先の企業間において締結するデータ保護に関する取り決めです。これを結べば、グループ外へのデータ移転も行えますが、移転の目的と対象の個人データを契約書に明記する必要があるため、追加や変更のたびに見直しが求められます。

イメージ:個人情報の保護

また2018年2月には、個人情報保護委員会が「EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について」を公表しました(※)。ここでは、「要配慮個人情報の範囲」「保有個人データの範囲」「利用目的の特定」「日本から外国への個人データの再移転」「匿名加工情報」の5項目について、日本の現行法令とGDPRの異なる点を明示しています。今後、この方向性を踏まえてガイドラインが策定されれば、日本企業がEU内から個人データの移転を受けるために、このガイドラインに沿った対応が必要になると推測されます。

次のポイントとして注意したいのは、データ取得時の同意です。取得と利用目的について、データ主体から有効な同意が明確に示される必要があります。つまり、Webサイトなどにプライバシーポリシーや利用規約を掲載し、「同意」を意味するチェックボックスにあらかじめチェックが入った状態で、ユーザーによる操作を必要とせずに次へ進めるような仕組みを用意して、「暗黙の同意を得た」という運用では、「有効な同意」とは認められないことになります。また、一度得た同意をデータ主体がいつでも取り消すことができる仕組みも要件として必要です。

このようなポイントを踏まえた上で、企業の各拠点においてどのような個人データを保有し、どのように扱っているか調査、把握し、データ保護の責任者や役割分担を明確にして、GDPR対応計画を構築、運用することが対策として求められます。

EU域内でビジネスを展開している日本企業は少なくありません。企業のグローバル化が進むなか、GDPRが定める規則を順守することはもちろんですが、個人データの保護というGDPR本来の目的を理解し、日本企業全体で個人データ保護の文化を浸透させることが重要といえるでしょう。

※個人情報保護委員会:「EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について」(2018年4月現在)

【 制作/コンテンツブレイン 】

2018/04/24

この記事のPDFをダウンロードする

ビジネスに役立つ情報を メールマガジンのご登録

ポスト

事例紹介

スマートフォン用リンク

エバンジェリストが語るICTの未来

スマートフォン用リンク

ページトップへ

トップへ