EU一般データ保護規則(GDPR)の概要をわかりやすく解説します
EU一般データ保護規則(GDPR) の解説
EU一般データ保護規則(GDPR)が施行され、多くの企業が本規則の対応に追われていると思います。
また、これからグローバル企業と契約を結ぶ際には、EU一般データ保護規則(GDPR)への対応条項が欠かせません。
対応を間違えますと、多額の制裁金が科されてしまいますので、良く理解する必要があると言えます。
以下に、EU一般データ保護規則(GDPR)の大枠について見ていきましょう。
◆ EU一般データ保護規則(GDPR)とは?
GDPR(General Data Protection Regulation: 一般データ保護規則)とは、欧州経済領域(EEA)域内にある個人データ保護と、ある企業がEUを含む欧州経済領域(EEA)域内で取得した個人データ(個人情報)を欧州経済領域外の十分性の決定を受けていない第三国に移転するための枠組みを定めたものを言います。
◆EU一般データ保護規則(GDPR)の「個人データ」の範囲
EU一般データ保護規則(GDPR)は欧州経済領域(EEA)域内で取得した個人データ(個人情報)を保護する規則です。
とすると、EEA域内に国籍がある個人の個人情報のみが保護の対象になるとも思われます。
ですが、この「個人データ」は国籍、居住地等に関わらず、欧州経済領域(EEA)域内に所在する者の個人情報を言います。
ですので、日本人といえども、欧州経済領域(EEA)域内の企業で働いていれば、欧州経済領域(EEA)域内の個人データとして本規則の保護の下にあると言えます。
より詳しくは下記の
をお読みください。
◆プライバシーポリシー、データ処理を伴う契約書のGDPR適合性判断基準
GDPRにおきましては、管理者に対してGDPR遵守証明説明責任(アカウンタビリティ)を課し、どのように遵守する必要があるかという6原則(GDPR第5条)の指針を示しております。
ですので、プライバシーポリシー、データ処理を伴う契約書のGDPR適合性判断を行う場合には、原則としてこの6原則に従う必要があります。
では、以下にその6原則を簡単に概観したいと思います。
①適法性・公正性・透明性
データ処理につきGDPR第6条に定める適法な根拠があることと、データ主体に対してデータ処理の内容が丁寧に説明・開示されていること
②目的の特定性
データ処理は特定された明確な目的に基づいて行われること
③必要最小限のデータ
目的に対して、必要最小限のデータ
④保存期間
データ処理に必要な期間のみデータを所持すること
⑤正確性
データの内容を正確に保つこと
⑥セキュリティ対策
データ所持につき適切なセキュリティ対策を施すこと
プライバシーポリシー、データ処理を伴う契約書のGDPR適合性判断は、以上の6原則に基づいて検討することが原則となります。
◆契約書への対応
例えばクラウド事業者がクラウドサービスを行う場合に個人データが含まれている場合、管理者との間で①データ処理契約(Data Processing Agreement)を締結する必要があります。
また、欧州経済領域から第三国への欧州経済領域内に存在する個人情報の移転をする場合には、②標準契約条項(Standard Contractual Clauses)や、標準データ保護条項によるデータ移転契約(Data Transfer Agreement)の締結が必要となります。
モデル契約書が公表されておりますのでご活用ください。