GDPRとは何か？ その目的は？

　GDPR制定の背景には、急速なIT技術の革新とグローバリゼーションの進展があります。ビッグデータ時代に、企業は顧客データや行動履歴などをグローバル規模で分析し商品開発やサービス改善などに活用したいというニーズが高まっています。

　かねてよりEUでは、個人情報保護に関する法整備が進んでおり、こうした個人情報を取り囲む環境変化への対応を目的として、GDPRという新たなデータ保護の枠組みが策定されました。

GDPRにおいて保護対象となる個人データとは

　保護対象の個人データは、EU加盟国に加えEEA（欧州経済領域）加盟3か国に所在する一般消費者の情報のみならず従業員、企業担当者などを含むすべての個人について、その個人識別につながる情報です。

　このこと自体は、日本の個人情報保護法（以下、「国内法」という）と共通しますが、紹介されている例示には、たとえばオンライン識別子（例：IPアドレス）など、国内法にはないものも含まれています。

個人データの例

・従業員の氏名が含まれるもの（従業員名簿、人事システム、組織図、緊急時連絡網、座席表）
・顧客の氏名が含まれるもの（顧客管理システム、株主名簿）
・取引先企業担当者の氏名が含まれるもの（イベント参加者名簿、展示会来場者情報）
・Eメールアドレス（メーリングリスト）
・個人に係る映像、画像または音声（イベント写真）

　個人の氏名が含まれる場合は、もれなく個人データに含まれるでしょう。また、従業員番号などのIDのみであっても、従業員名簿があれば紐付けが可能であり「この人とわかる可能性がある」データとして、個人データとみなされます。

　IPアドレスなどのオンライン識別子は、他のデータと組み合わせることで、個人識別につながる場合に対象とされています。

日本企業にどういった影響があるのか

　上記の前提を理解した上で、日本企業がGDPR対応として、始めに何をすべきでしょうか

　まずは、GDPR適用対象となる個人データの取り扱いがあるか、またある場合にどのように取り扱っているかを把握し、自社においてGDPR上どういった影響があるかを理解することから始まります。

　主にGDPRが影響するケースとしては、以下の4つに分類されます。

分類【1】：
　EUに設置されている子会社、支店、営業所が存在し、そこで個人データが取り扱われている
　EU域内に所在する企業は、「管理者」（キーワード解説2参照）としてGDPR要求事項全般が適用されます。

分類【2】：
　EU企業を介さず、EU居住者の個人データを取り扱っている
　日本企業として、直接現地（言語、通貨）向けに商品やサービスを提供しており、その中で個人情報を収集する場合（たとえば、オンラインショッピングサイトを介した一般消費者への商品販売や、現地取引先企業向けのヘルプデスクサイトの設置している）なども、分類1同様に管理者としてみなされることになり、GDPR要求事項全般が適用されます。

分類【3】：
　EU域内から域外へのデータ移転を受けている
　EU域内企業が収集した個人データを、EU域外企業がアクセスできる状態にあることを指します。たとえば、EUにある現地法人より日本本社へ、企業取引先担当者リストのデータがEメールで送付されている、EUの現地法人の人事システムへ日本本社の担当者がアクセスできるといったケースなどです。この場合、日本本社は「データ移転」（キーワード解説5参照）を受ける先の企業として対応が必要です。

分類【4】：
　管理者に代わり、EU居住者の個人データを取り扱っている
　たとえば業務委託など、個人情報を収集する立場の管理者に代わって、業務を行う中で個人データの取り扱いが含まれる場合、同組織は「処理者」（キーワード解説3参照）とみなされ、処理者に関する規制への対応が求められます。


　分類【1】、【２】と分類【３】、【４】では、その規制内容が大きく異なることに注意が必要です。

　前者に該当する場合、同企業は、個人情報の持ち主である本人（データ主体）から個人情報を収集する立場である「管理者」とみなされるため、データ主体に向けた対応の責務が生じることになります（例：利用目的の通知や、同意、同意の撤回などの問い合わせ対応）。

　一方後者は、管理者が収集した情報の提供を受けて取り扱うことになるので、データ主体に向けた対応は不要であり、主に提供を受けたデータに対するセキュリティ対策が責務となります。