個人情報保護委員会は7月17日、「EU一般データ保護規則(GDPR)」に関し、EUと合意したと発表した。日本、EU間での個人データの移転を円滑にする目的で、互いの地域のデータ保護体制レベルが同等であることを確認した。これにより、EUに構える拠点とのデータ保護に関する契約締結といった、GDPR対策を講じる必要性が低くなる見通しとなった。
個人情報保護委員会は「合意はあくまでデータ移転に関するもの。GDPRの規定については通常通りの対応が求められる」(広報)と説明する。
GDPRはサイバー攻撃などのデータ漏えいに対応するための規則。データ移転の例として、EU圏に持つ拠点の情報システムへの日本からのアクセスなどが挙げられる。
プライバシーポリシーの作成などGDPRが定める対応を取っていない場合、最大で2000万ユーロまたは、前期の全世界売上高の4%が制裁金として課せられる場合がある。
データ移転以外では、GDPRはウエブサイトなどで直接個人からデータを収集する際、収集される側の同意を得ることなどを求めている。EU圏からアクセスが可能なECサイトやウエブサイト上では、データを取得する旨をポップアップ表示などで通知し、許可を得なければならない。
EU圏の顧客を多く抱えるEC事業者は、引き続きGDPR対策に注意が必要だ。
〈個人情報保護委員会〉 EUと最終合意/データ保護体制、同等と確認
記事は取材・執筆時の情報で、現在は異なる場合があります。