EU、「データ保護規則」可決　新ルールがもたらす影響

14日、仏ストラスブール欧州議会本会議において可決された欧州連合（EU）一般データ保護規則（GDPR：General Data Protection Regulation、）。EU域外へのデータ持ち出しを厳しく規制するものだ。2018年より適用開始となるこの新ルールは、どのような影響をもたらすだろうか。

この新規則はEU市民の氏名、情報、クレジットカード情報、顔写真などの「個人データ」をEU域外へと持ち出すことを禁止している。サービス提供により取得したEU市民の情報のみならず、EU域内の子会社の従業員情報の移転も対象となるため、影響を受ける日本企業は多くなりそうだ。
また、違反した場合に課せられる制裁金も特徴の一つである。全世界連結売上高の4％あるいは2000万ユーロのいずれか高い方を上限とした莫大な制裁金を課すとしており、グローバル経営やビッグデータ分析を推進する企業にとって、喫緊に検討すべき課題となとなるだろう。

新ルール下において、域外へのデータ持ち出しを可能にする方法は大きく分けて二つある。EUが認めたひな型を元に契約（標準契約条項）を結ぶ、もしくは、Binding Corporate Rules（拘束的企業準則）という社内規則のようなものを策定し、EUの監督機関より認証を受ける方法である。

大きな法的リスクが生じることが想定される新ルールの実際の発効に向けて、企業法務担当者は早急に対応することが望ましい。

 
（写真はイメージ）