個人情報保護委員会は7月17日、「EU一般データ保護規則(GDPR)」に関し、EUと合意したと発表した。日本、EU間での個人データの移転を円滑にする目的で、互いの地域におけるデータ保護体制レベルが同等であることを確認した。これにより、EUに拠点を持つ企業が独自にGDPR対策を講じる必要性が低くなる見通しとなった。
個人情報保護委員会は「合意はあくまでデータ移転に関するもの。GDPRの規定については通常通りの対応が求められる」(広報)と説明する。
「GDPR」はサイバー攻撃などによるデータ漏えいに対応するための規則。「データ移転」の例として、EU圏に持つ拠点の情報システムへの日本からのアクセスなどが挙げられる。
プライバシーポリシーの作成など「GDPR」が定める対応をとっていない場合、最大で2000万ユーロまたは、前期の全世界売上高の4%が制裁金として課せられる場合がある。
「データ移転」以外では、GDPRはウエブサイトなどで直接個人からデータを収集する際、収集される側の同意を得ることを求めている。EU圏からアクセスが可能なECサイトやウエブサイト上では、データを取得する旨をポップ表示などで通知し、許可を得なければならない。
EU圏の顧客を多く抱えるEC事業者は、引き続きGDPR対策に注意が必要だ。
〈個人情報保護委員会〉 EUと最終合意/データ移転先として体制確認
ゴルフダイジェスト・オンラインはユーザー情報の収集許可をウェブサイト下部に表示するプップで求めている
記事は取材・執筆時の情報で、現在は異なる場合があります。