GDPRをめぐる
二つの大きな誤解
新保史生 (しんぽ・ふみお)慶應義塾大学
総合政策学部教授、博士(法学)
専門は、憲法、情報法。憲法学会理事、情報通信学会常務理事、法とコンピュータ学会理事、総務省情報通信政策研究所特別上級研究員、2009年から2016年まで経済協力開発機構(OECD)デジタル経済セキュリティ・プライバシー部会(SPDE)副議長。個人情報保護に関する各府省庁、地方公共団体、業界団体等の委員を歴任。
では、これからGDPRへの対応に取り組む企業は何から始めればいいのか?
「まずはGDPRに関する誤解をなくし、そのうえで具体的な対応策を検討するというステップを踏むことが重要です」と語るのは、慶應義塾大学総合政策学部の新保史生教授である。
新保教授によると、日本企業がGDPRに対して抱いている誤解は大きく二つある。ひとつは、EU域内の事業者と直接取引がない企業の多くがGDPRへの対応は不要だと考えていること。
もうひとつは、EU域外に個人情報を移転させる場合、現時点でもデータ主体の明示的な同意を得るか、BCRの採用やSCCの締結などが要求されるという事実があまり認識されていないことだ。つまり、EU域外への個人情報移転に対する法的制限は、GDPRの適用開始とともに始まるのではなく、すでに実施されているのである。
「前者については、EU域内の事業者との取引がなくても、EU域内の市民を対象とする個人情報の取り扱いがあればGDPRは適用されます。直接の取り扱いがない場合でも、EU域内の業務委託先が知らない間に個人情報を収集し、移転させたりすることもあるので細心のチェックが必要です」(新保教授)
また、二つ目の誤解については「現時点でも法的制限があることを知らないままデータ移転を行っていたとすれば、無意識とはいえ明らかな違法行為です。GDPRへの対応に取り組む前に、いまの段階で自社が適法なデータ管理やデータ移転を行っているのかどうかを、洗い出してみる必要があるでしょう」と新保教授はアドバイスする。
