平成30年11月20日 「GDPRセミナー ~執行機関とビジネス実務の観点から~」
開催(結果概要 - パネルディスカッション)

当日のプログラム

■パネルディスカッション

【パネリスト】

パトリック・グラント氏

欧州経営者連盟(BUSINESSEUROPE)アドバイザー

パトリック・グラント氏

― 当局との対話も重要な情報源

ジョン・ミラー氏

米国情報技術産業協議会(ITI)公共政策部長

ジョン・ミラー 氏

― 情報保護は企業にもメリット

横澤 誠氏

経団連国際戦略作業部会 主査

京都大学大学院客員教授

横澤 誠 氏

―補完的ルール含め理解正確に

ボヤナ・ベラミー氏

Centre for Information Policy Leadership 代表

ボヤナ・ベラミー 氏

―体制整え、説明できる準備を

【モデレーター】

新保史生

個人情報保護委員会専門委員

新保 史生

― データ移転業務簡素化に期待


グローバルビジネスにおけるGDPRへの対応

パネルディスカッションの様子画像
パネルディスカッション風景
新保   

 多数の日本企業が欧州で事業を展開しており、従業員情報をはじめ、大量のデータを日本へ移転する必要がある。日本がGDPRにおける十分性認定を受けることで、データの域外移転などの業務が簡素化されることが期待される。

グラント 

 欧州経営者連盟への加盟企業は34カ国、40社に上る。また、日本や米国を含み、欧州内外の74社からなる補佐グループによる支援がある。幅広い課題に取り組んでおり、なかでもデジタル化が重点的な取り組みだ。
 GDPRが大きな変革をもたらす一方、今までは各国にプライバシー保護の法令がなかったかというと決してそうではない。そういう意味では、GDPRはむしろEU加盟国がバラバラで行っていた規制を一本化するとともに、情報保護体制を強化し、消費者の権利をさらに保障する制度と見るべきだろう。

ミラー  

 ITIはハイテク分野で活躍する、日本を含めた各国の約70社の加盟企業を代表して政策について発言する団体で、GDPRの策定にも関わってきた。データ保護といえば、プライバシーやサイバーセキュリティーなど、それぞれの観点があるが、いずれにしてもデータ自体を強固に守らなければいけない。いかにしてデータを安全に移転し、活用し、各用途で価値を発揮させるかが重要になってくる。そこでGDPRは実質的で有意義な変革をもたらすはずだ。適用が開始されてほんの数か月しか経っておらず、その対応について各社が模索中であり、当局も試行錯誤の段階。しかし新制度が軌道に乗れば、業界にも消費者にも、大きなメリットが生まれると確信している。

横澤   

 日本企業がGDPRへ対応するに当たり、ビジネスのタイプごとに考える必要がある。EUでビジネスや研究開発を行い、域内事業として適用される企業もあれば、日本から通品販売などを行い、域外適用を受ける企業もある。いずれの場合もGDPR適用を正しく理解することが大事だ。例えば、日本が十分性認定を受けたら、「欧州と完全にルールが同等になったということで、日本の国内法だけ気にしておけばいい」との誤解が多い。十分性認定によって日本の個人情報保護法がGDPRと同じになるわけではないし、特別講演でいずれも紹介があったように一定の要件を満たす日本企業にはGDPRが適用されるから、GDPRは引き続き気にする必要がある。また、欧州から移転してくる個人データに関しては、日本の個人情報保護委員会から、EU域内から十分性認定により移転を受けた個人データの取り扱いに関する補完的ルールが示される。それを順守しなければ日本の国内法に違反することになる。

ベラミー 

 GDPRが適用され、その運用状況を見守るに当たり、特に説明義務、リスク重視、データの国際流通および規制の相互運用性などの観点が重要だ。説明義務では、万全を期して個人情報などのデータを保護するだけでなく、保護を証明しなければいけない。また、調査結果によれば、企業にとって、証明できるプライバシー管理体制を構築したことはGDPRから享受できた最大のメリットといえる。リスクに関しては、GDPRで各社がデータを取り扱う工程ごとにリスクを評価し、優先順位を設定したうえで万が一の対応策を事前に定めることになった。データの国際流通および規制の相互運用性は日本が大きな役割を果たすべき分野だ。GDPRの十分性認定の取得にいち早く動き出した日本はアジア太平洋経済協力会議(APEC)の越境プライバシールール体制にも参画しており、制度間の調和を図るための橋渡し役として最も適任だろう。

新保   

 日本の企業がGDPR、さらにはそれ以外にも各国で異なる法制度への対応に対応していくに当たっての注意点は。

グラント 

 各国のデータ保護当局はGDPR順守を目指す企業にとって貴重な情報源であり、信頼すべき相談窓口でもある。当局に自社の状況を知ってもらい、良好な関係を築くことが大事だ。

ミラー  

 国によって法制度と文化が異なり、調和を図っていくのは当面の課題だ。その意味では日本の個人情報保護法がAPECの越境プライバシールールの認証を国際データ移転の枠組みの一つとして認めていることは評価すべき点だ。

ベラミー 

 説明義務という原則はGDPRだけでなく、日本の個人情報保護法に関しても欠かせない要素だろう。

横澤   

 GDPRを実行するに当り、最も重要な課題の一つは制裁金だ。域外適用も念頭に置くと、多くの企業は本来の事業活動でGDPRの規制に違反したと判断され、制裁金を課されるのではないかと懸念している。各企業がどのような情報保護力を持っているのかを分析して指数にする方法が有効になるかもしれない。こうしたセミナーなどで情報交換をすることも大事だ。

新保   

 GDPRのガイドラインの翻訳版は個人情報保護委員会のウェブサイトでも確認ができる。参照して理解を深めてほしい。