ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

いま世界で、セキュリティとプライバシーの
法制度が大きく変わろうとしている

デロイト トーマツ リスクサービス
【第4回】 2017年7月27日
著者・コラム紹介バックナンバー
previous page
4

 そのためGDPRの施行にむけて、個人データを日本など、EU域外に移転する必要のある企業の多くは、現行法でも有効である「標準データ保護条項(SDPC: Standard Data Protection Clauses)」、「拘束的企業準則 (BCRs: Binding Corporate Rules)」といった方法で準備を進めています。

 その一方で先日(2017年7月4日)、個人情報保護委員会が「日EU間の相互の円滑な個人データ移転について」を公表し、その中で「欧州委員会の日本に対する十分性認定に係る作業の進捗に併せて、来年前半を目標に個人情報保護法第24条に基づくEU加盟国の指定を行う可能性を視野に、本年6月16日に個人情報保護委員会において決定した「個人情報保護法第24条に係る委員会規則の方向性について」に基づき、今後委員会規則の改正手続を進めていくこととする。」と述べ、GDPR施行にむけて日本が十分性認定を得られるのではないかという期待が高まってきました。

 しかし、域外移転に関する手続はGDPRへの対応の中の一部にすぎなないため、十分性認定が得られたとしても、だからといって何もしなくて良いわけではありません。今後も以下のような点について、引き続き留意が必要だと考えられます。

  • ①日欧の交渉に一定の進展が見られたものの、GDPR施行時点で十分性認定が得られているかどうかはいまだ不透明であるため、SDPC等、域外移転のための手続は引き続き準備するほうが安全です。
  • ②日本に対して十分性認定が与えられた場合であっても業種・業態によっては日本以外の第三国への再移転が起こることがあります。その場合は、別途BCR・SDPCの移転手続が準備が必要になることから、特に一般消費者の個人データを取り扱う業務については、当該個人データの流れについて、適切に把握しておくことがリスク低減のために必要となります。
  • ③十分性認定によって域外移転が可能になったとしても、同意取得やDPO設置などはGDPRの域外適用によって義務が発生する場合が想定されるため、一定の体制整備は必要になる場合があります。(例えば欧州に現地法人があれば、その法人はGDPR及び欧州側の国内法を守らなければなりません。ドイツなどでは既に現行法でDPOの設置が必要な場合があります。)
  • ④公表された文書にあるように、日本の個人情報保護法において委員会規則が改正されることが想定されます。これによって国内の規則もEUと同等になることが予想されるため、結果としてGDPR要件を満たす作業は国内法準拠のためにも行なう必要があると考えられます。

 このように企業をとりまくセキュリティ、プライバシーに関連する法制度は数多く存在し、事業を行なう上ではリスク管理の視点から十分に検討しておく必要があります。単なる法制度対応と考えると最低限のコストで済ませたいと考えがちですが、本連載で述べているように、事業を成長させるための戦略と施策に組み込んで、前向きな投資として適切に行なうことが望まれます。

previous page
4
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧