GDPR（EU一般データ保護規則）のコンプライアンス対応と内部監査

GDPRにおける「個人データ」の定義は広範である

GDPRの準拠状況をモニタリングする際は、「個人データ」の定義（日本との違い）を把握することが重要になります。

GDPRにおける「個人データ」は、「個人データ（Personal Data）」と「特別なカテゴリのデータ（Special Category of Data）」の大別できます。

「個人データ（Personal Data）」は日本の個人情報保護法における「個人データ」よりも広範囲にわたります。例えば、特定の条件下における動的なIPアドレスなどが含まれます。個人が特定できないデータは個人情報ではないと考えがちですが、GDPRにおいては複数のデータを照合することによって個人を特定できる可能性があり、個人に影響を与える可能性があるのであれば「個人データ」の取り扱いとなります。（日本の個人情報保護法でも容易照合性の概念がありますが、日本より少し幅広く適用されると考えても良いでしょう。）

「特別なカテゴリのデータ」とは、人種・民族的出自、政治的見解、宗教又は哲学的信念、遺伝データ、健康等を現すもので、差別につながる可能性があるデータを指します。

EUに関係会社を設置していない場合もGDPRの適用となり得る

関係会社をEU域内に設置していない場合でも、GDPRの適用対象となることがあります。

本社がEU域外であっても（日本企業等）、「EU域内で個人データを収集し、日本で処理を行っている」*1、「EU域内に業務遂行に必要な機器がある」、「EU域内へ日本から直接、商品やサービスを提供している」のどれかに当てはまる場合は、GDPRに基づいた個人データの管理が求められます。

*1 Cookieなどを収集し、日本で処理している場合には、GDPRに基づいた個人データの処理が求められます。

GDPRをテーマとした内部監査等によるモニタリング

GDPRの準拠状況については、「個人データ」の収集・処理実施国及びデータフローを特定した上で「法令違反リスク（制裁金*2、レピュテーション）の低減」および「説明責任が果たせる体制」の整備・運用がなされていることを内部監査等によりモニタリングする必要があります。情報セキュリティ監査と似た監査手続となるため、監査の重複を避けるためにも監査手続きの統合等による調整が望まれます。

*2 GDPRの義務に違反した場合には、最大で2,000万ユーロ又は前年度全世界売上高（グループ全体の売上高）の4%のいずれか高い方の制裁金が課されます。（違反の例：GDPR要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合等）

GDPR規制に関する今後の動向にも注意が必要

「個人データ」のEU域外移転に関して、移転先の国が「十分なレベル」*3 の保護措置を確保している場合には、EU域外移転が可能とされています。今後、日本に十分性認定が与えられた場合には、EUから日本への個人データの移転についての特別な手続きは不要になると考えられます。

十分性認定の取得に向けた日欧間交渉の結果、2018年5月、EU域内および日本国内で入手した個人データの移転を相互に認めることについて日欧が実質的に合意しました。これには、欧州委員会による、欧州経済領域(EEA) 参加国におけるGDPRの法的性質、効力及びGDPRの特定の規定内容の明確化なども含まれています。

また、当該認定に向けて日本の個人情報保護委員会は既に日本側の企業が新たに準拠すべきガイドライン案を公表し、5月25日に意見募集を終えています。従って日本における新たなガイドラインや、その他の個人情報保護法に関連した各種の改定等にも注意する必要があります。

*3 「十分なレベル」にあるとしてEUから認定を受けている国々は次のとおりです。認定を受けていない国にデータを移転するには第26条に基づいた例外対応が必要です：スイス、カナダ、アルゼンチン、ガーンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド