GDPR施行に向けて中小企業はまず何をすべきか

GDPRとは?

GDPRは、ヨーロッパの「個人情報保護法」で、ヨーロッパにおける個人のデータを保護するためのルールです。2018年(平成30年)5月25日から効力が発生しています。

 

 

   
 「GDPRが施行されたんだけど、当社にも関係があるの?」                 
 「違反した場合の制裁って、どんなものがあるの?」                    
 「楽天など、GDPR認証を受けた企業があるけど、当社もそこまで対応しなければならないの?」
 

 

 このような顧問先企業からの相談を多数受け付けておりますので、

 こちらでまとめます。

 

 

ヨーロッパに支店や関連会社がなくてもGDPRが適用される?

GDPRは、ヨーロッパ内に拠点を持たなくても、ヨーロッパにいる個人に対して商品、サービスを提供し、個人データを処理、または監視する者にも適用されます。

そのため、たとえば日本にしか店舗がないビジネスをしているような場合であっても、通販やECサイトでヨーロッパの個人情報を取得することがあれば、GDPRが適用される可能性があるのです。

 

GDPRに違反すると、多額の制裁金が課される可能性が?

GDPRには、いくつか制裁金の規程があります。

たとえば、個人データを同意なく取得したり、適切に個人データを管理していないような場合、管理者の情報が適切に開示されていない場合、個人から自己の情報にアクセスしたり修正したりできない場合には、最大 20 000 000 ユーロ、又は事業である場合、前会計年度の全世界年間売上高の4%までの、どちらか高い方を制裁金として科される可能性があります。

 

さらに、各地の監督機関の命令に従わない場合にも、同じく最大 20 000 000 ユーロ、又は事業である場合、前会計年度の全世界年間売上高の4%までの、どちらか高い方を制裁金として科される可能性があります。

 

また、制裁金だけではなく、集団訴訟による損害賠償請求の可能性や、罰則が科される可能性もあります。

楽天のような大企業と同じレベルまで対応できない中小企業はどうしたらいいの?

だからといって、大企業と同じような情報管理を中小企業に求めるのは酷だといえます。

そこで、どのような順番で対応をすすめていくべきか、その「優先順位」を決めて進めていただくべきでしょう。

まずは、おすすめする1位・2位の対応をお教えします。これ以外については、周囲の対応に合わせながら、徐々に対応していくのが望ましいでしょう。

 

優先順位1位 個人情報取得のときにチェックボックスを用意する

まず大切になるのは、個人情報の取得の際、チェックボックスを用意し、「このチェック欄にチェックを入れた場合には、当該個人データの日本への移転について明示的に同意したものとみなします」としてチェックをさせるといった形がよいでしょう。そうすることで、日本に個人情報を移しても明示的な同意があることになります。

もしこの対応が遅れると、監督機関からの指導が入ったとき、明示的な同意がない情報を削除しなければならない手間が発生し、大変なことになります。そのため、顧問弁護士などの指導に従って、速やかに、申請フォームや契約書の書式を変更すべきでしょう。

 

優先順位2位 個人情報についての連絡があったとき、窓口をすぐに伝えられるようにする

さらに、自己の情報へのアクセスができるようにしなければならないので、メールや電話で、個人情報についての連絡があったとき、少なくとも「窓口」だけは決めて置くべきでしょう。

この窓口を、できれば専門家である個人情報保護法に強い弁護士などにしておくと、適切な対応をすることができるでしょう。

 

まとめ

GDPRは、中小企業にも影響してくるルールです。ここに記載したのは、あくまで「はじめの一歩」ですので、顧問弁護士の指導などにしたがって、徐々に整備していけば、決して怖いものではないといえるでしょう。

(平成30年5月25日発行  文責:杉浦)