EUにおいてGDPR(EU一般データ保護規則)が施行された。GDPRはEU域外に個人情報を移転する場合に厳しい規制を課し、日本もその規制対象としていたが、日本の個人情報保護レベルの十分性を認めることで、移転の取り扱いについて整備が進められることになった。グローバルで個人情報を取り扱う国内企業はGDPRを取り込んだ個人情報保護規制に対応する準備を進めなければならない。
EUでは、これまで1995年に発効したEUデータ保護指令によって個人情報の取り扱いを規制してきたが、FacebookやGoogleなどのグローバルIT企業によって数十億人ともいわれる個人情報の収集と営業活動が個人の人権を侵す行為になっていることが問題となり、グローバルを意識した新たな個人情報保護規制であるGDPR(EU一般データ保護規則)を2018年5月に施行した。
GDPRはEUデータ保護指令を基にグローバル対応を意識しており、EU域外に個人情報を移転する場合のやり取りについて以下のようなルールを規定している。
(1) 個人データリストの作成:個人情報保護法における個人情報台帳に相当する。GDPRでは個人情報の定義の範囲が広い。
(2) DPO(データ保護責任者)の設置:個人情報保護法における個人情報の管理責任者に相当する。GDPRでは求められるスキルや責任がより明確に定義されている。
(3) 個人データ管理方針とBCR(拘束的企業準則)の制定:個人情報保護法における個人情報保護方針や個人情報保護規程に相当する。個人情報保護法では、個人情報の取り扱いにおいて一部事後承認(オプトアウト)を認めているのに対して、GDPRは全て事前承認(オプトイン)である。またBCRを策定後EUに提出し、承認を得なければならない。
(4) EU企業との取引があればSCC(標準契約)を締結:個人情報保護法において、個人情報を取り扱う際の委託先との業務委託契約に相当する。
(5) GDPRに沿った個人データ処理フローの定義:個人情報の収集から利用、廃棄までの一連の流れをフローとして定義することを求めている。個人情報保護法でも義務ではないが、フローの作成を推奨している。
(6) 個人データについてのセキュリティ措置:個人データについての適切な保護措置を行うことを求めている。個人情報保護法においても、管理措置として実施を推奨している。
(7) インシデント発生時の対応体制の確立:個人情報の漏洩や改ざんなどのインシデントが発生した場合には、EUに対して72時間以内に報告することを求めている。同時に個人情報の保有者である本人にも報告することも求めている。