GDPRとは

2021.01.07

  • 決済以外のサービス

突然ですが皆さん、「GDPR」をご存知でしょうか?
 
GDPRとは欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組みとして2018年5月25日に施行された「EU一般データ保護規則」の略です。
(GDPR:General Data Protection Regulation)
当社ではグローバル事業を展開される加盟店様も多く、GDPRの施行において何をすれば良いのかとお問い合わせいただくことが増えてきました。
 
本コラムでは簡単にGDPRについて説明させて頂きます。
 
 
グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっていますが、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まっている現状があります。
1995年には、EUデータ保護指令が策定されていましたが、それに代わるより厳格なものとしてGDPRは発効されました。
EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データの保護を強化することを目的としています。
GDPRは2012年に立案、2016年4月に採択され、2018年5月25日に施行され、個人データを収集、処理をする事業者に対して、多くの義務が課されることになります。
 
 
【対象となるデータ】
個人データ(氏名やクレジットカード番号)。企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外となる。
【適用対象】
EU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)。
EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。
 
【義務内容】
<個人情報の処理>
処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する
処理対象の個人データおよびその処理過程を特定しなければならない
個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。
<個人情報の移転>
EEA(欧州経済領域)の域内から域外(第三国)への個人データの移転は原則として禁止
例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有していると認められていない国への情報移転は、
本人同意を得る
拘束的企業準則(binding corporate rules)を策定する
標準契約条項(SCC:Standard Contractual Clauses)を締結する
のいずれかの要件を満たしに行く必要がある。
 
【制裁】
上記のGDPRで定められた義務内容に違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロ(1ユーロ125円とすると25億円)のどちらか高い方が制裁金として課される。(「全世界売上高」というのはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることを意味する。)
 
【GDPRの影響を受ける日本の組織】
日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。
 
EUに子会社、支店、営業所、駐在員事務所を有している
日本からEUに商品やサービスを提供している
EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)
例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。
 
また、海外に拠点を持っていない場合でも、EU居住者が日本のWebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。
 
EU域内の個人データを扱う可能性がある場合、経営層や法務部門と連携し、社内ルールの見直しやデータ保護責任者の選任などの管理体制の強化、個人データを処理するシステムに対しての安全対策を行う必要が出てくるでしょう。
 
GDPRへの対応にあたり社内の各部門だけでなく、外部の専門家の力を使いながら、十分な体制・ルールを整えていく必要があります。
 
海外事業ではクレジットカード決済は必須となりますので、
決済代行サービス導入をご検討される際は是非お気軽にお問い合わせくださいませ。

クレジットカード決済代行なら
テレコムクレジットにお任せください。

セキュリティへの取り組み
PCI DSS Pマーク Trustwave