34件の回答
顧客データをChatGPTなどのAIツールに入力してもいいのでしょうか。
どのデータを、どのツールで、どの法的根拠に基づいて扱うかによります。個人データ(氏名、メールアドレス、契約書の内容、健康データや財務データなど)をAIツールに入力することは、その第三者である提供事業者にデータを渡すことを意味します。その事業者は事実上そのデータを取り扱う主体となり、本人に対する責任は引き続きあなたが負います。
無料の個人向けプランでは、入力内容がモデルの学習に使われる可能性があり、契約上の十分な保証もありません。そこでの実務的なルールは、個人データや機密情報を入力しないことです。学習利用を除外し、データ処理契約(DPA)を提供するビジネス/エンタープライズプランであれば管理可能になりますが、それでもケースごとの検討が必要です。
GiBSeS — 「どのデータか、どのツールか、どんな契約上の保護があるか」を切り分けることこそ、中小企業がリスクを負わずにAIを活用できるよう支援する際、私たちが最初に行うチェックです。
小さな会社として、GDPRは結局何を求めているのでしょうか。
GDPR(EU規則2016/679、2018年5月25日施行)が求めているのは、基本的に3つのことです。どの個人データをなぜ取り扱っているかを把握すること、明確な目的と有効な法的根拠に基づいてのみ取り扱うこと、そしてリスクに見合った方法でデータを保護することです。これは一度きりの対応ではなく、説明責任(アカウンタビリティ)の原則として、常に証明できる働き方でなければなりません。
中小企業にとってこれは、いくつかの「生きた」文書に落とし込まれます。取扱活動の記録、プライバシー通知、取引先との契約、セキュリティ対策です。際限のない事務作業は必要なく、宣言している内容と実際に行っていることとの一貫性が求められます。
GiBSeS — 何が既にあり、何が不足しているか確信が持てない場合、現状を正確にマッピングすることが私たちの出発点です。
「法的根拠」とは何を意味し、自社が扱うデータにはどれを使うべきでしょうか。
法的根拠とは、個人データを取り扱うことを認める法律上の理由です。最低1つの根拠がなければ、その取り扱いは違法となります。GDPR第6条は6つの根拠を定めており、同意、契約の履行、法的義務、正当な利益などが含まれます。中小企業の場合、注文処理や請求書発行、顧客対応といった業務上の取り扱いの大半は、同意ではなく契約または法的義務に基づいています。
同意が主に必要となるのは、依頼されていないマーケティングやプロファイリングといった活動です。同意は自由な意思に基づき、目的が特定され、いつでも撤回できるものでなければなりません。注意点として、選んだ法的根拠が都合悪くなったからといって、自由に変更することはできません。
GiBSeS — それぞれの取り扱いに正しい法的根拠を割り当てることは、GDPR診断で最初に整理する事項の一つです。
データはできるだけ少なく集めるべきなのでしょうか。「最小化」とは何を意味しますか。
はい、その通りです。データ最小化の原則では、宣言した目的に照らして適切かつ関連性があり、必要な範囲に限定されたデータのみを収集できるとされています。「念のため」という理由で収集している場合、既にこの原則に違反しています。目的の限定も同様に適用され、ある目的のために集めたデータは、新たな法的根拠なしに、両立しない別の目的のために再利用することはできません。
中小企業にとって最小化は実利的なメリットでもあります。収集・保存するデータが少ないほど、漏えい時のリスクも管理コストも小さくなります。すべてを永久に保存しておくことは、ほとんどの場合、資産ではなくリスクです。
GiBSeS — 取り扱うデータを減らし、妥当な保存期間を定めることは、コンプライアンスの枠を超えて私たちが提供する「シンプル化」の一つです。
DPIA(データ保護影響評価)はどのような場合に義務付けられますか。
DPIA(データ保護影響評価、第35条)は、取り扱いが個人の権利および自由に対して高いリスクをもたらす可能性がある場合に義務付けられます。規則は具体的に3つのケースを挙げています。重大な影響を伴うプロファイリングに基づく体系的な評価、特別なカテゴリーのデータ(健康データなど)の大規模な取り扱い、公共エリアの体系的な監視です。
各国の監督機関はDPIAが必要となる取り扱いの追加リストを公表しているため、管轄の監督機関のリストも確認してください。プロファイリング、スコアリング、個人に関する意思決定にAIが関わる場合、DPIAが必要になるケースが非常に多くなります。
GiBSeS — AIプロジェクトが着手前にDPIA義務を発生させるかどうかを見極めることは、私たちが必ず行うリスク・ベネフィット分析そのものです。
AIで顧客をプロファイリングしたりスコアを付けたりすると、プライバシーの観点で何か変わりますか。
はい、大きく変わります。自動プロファイリングとスコアリングは最も慎重な扱いを要する取り扱いの一つです。DPIAが必要となる可能性が高まり、本人に対してより強い透明性が求められます。本人には、自分がプロファイリングされていること、そしておおまかにどのようなロジックが使われているかを知る権利があります。スコアが重大な効果(サービスの拒否など)を生む場合は、自動意思決定に関する第22条も関わってきます。
さらに、この種のAIシステムはEU AI Act(AI規則)上の高リスクシステムに該当し、追加の義務を負う可能性もあります。ここではGDPRとAI Actが重なり合うため、両方をあわせて読む必要があります。
GiBSeS — 同一システムについてGDPRとAI Actの義務を突き合わせることは、重複や抜け漏れを防ぐために私たちが行う統合的な読み解きの典型例です。
取引先のサーバーが米国にあります。それだけでGDPR違反になりますか。
自動的に違反になるわけではありませんが、移転のための有効な根拠が必要です。個人データを欧州経済領域の外に移転することが認められるのは、十分な保護措置がある場合のみです。欧州委員会の十分性認定、標準契約条項(SCC)、拘束的企業準則(BCR)、その他ごく一部の例外がこれにあたります。米国については2023年からDPF(データプライバシーフレームワーク)が存在し、取引先がこれに参加していれば、その事業者への移転はカバーされます。
取引先が認証を受けていない場合は、実際のリスク評価(シュレムスII判決に由来する要件)を伴うSCCが必要になります。実務上のポイントは、「米国製のツールを使っている」というだけでは不十分で、どの保護措置がそれをカバーしているかを把握する必要がある、ということです。
GiBSeS — クラウド/AIの各取引先がどの移転保護措置に依拠しているかを確認することは、ツール選定の際に標準で組み込んでいるチェック項目です。
標準契約条項(SCC)とは何で、いつ必要になりますか。
SCCとは、欧州委員会が承認した契約ひな形であり、データの輸出者と輸入者が署名することで、十分性認定のない国へデータがEUから移転する際に、十分な保護水準を確保するものです。定型化されているため、中小企業に最もよく使われる手段の一つです。
シュレムスII判決以降、SCCだけでは十分ではありません。移転先国の法律が、保護措置を無効化するようなデータアクセスを許容していないかを確認する評価(移転影響評価)を併せて行う必要があります。多くの取引先はすでに契約にSCCを含めていますが、それを確認する責任は依然としてあなた自身にあります。
GiBSeS — 取引先の契約にある移転条項を鵜呑みにせず実際に読み込むことは、ロックインとリスクを減らす私たちのやり方の一部です。
AIやクラウドの取引先を使う場合、データの責任は自社と取引先のどちらにありますか。
ほとんどの場合、あなたが「管理者(コントローラー)」(目的と手段を決定する主体)であり、取引先は「処理者(プロセッサー)」(あなたに代わってデータを取り扱う主体)です。つまり、実際にデータを扱っているのが取引先であっても、顧客や監督機関に対する主たる責任はあなたに残ります。「ツール側が対応していたはず」と言ってコンプライアンス責任を転嫁することはできません。
そのため第28条は、取引先がデータについて何をしてよく何をしてはいけないかを定める特別な契約、データ処理契約(DPA)の締結を義務付けています。DPAがないままデータを取引先に委ねること自体が、既に違反となります。
GiBSeS — すべての取引先が適切なDPAを締結しているかを確認することは、あらゆるツールを導入する前に私たちが行う具体的なチェックの一つです。
DPA(データ処理契約)とは何で、すべての取引先と締結する必要がありますか。
DPA(データ処理契約)は第28条が定める契約で、あなたに代わって個人データを取り扱うすべての取引先(クラウドサービス、基幹システム(ERP)、メールマーケティング、AIツール、場合によっては税理士なども含む)と締結する必要があります。対象、期間、目的、データの種類、セキュリティ上の義務、再委託先の利用、契約終了時の扱いなどを定めます。
まともな取引先の多くは、オンラインで同意できる標準的なDPAを用意しています。あなたの役割は、その存在と内容の妥当性を確認し、保管しておくことです。監督機関の調査やデータ漏えいの際、真っ先に提示を求められる書類の一つです。
GiBSeS — 取引先とそれぞれのDPAを一覧化しておくことは、後の監査を大幅に速めてくれる、整理された基盤の一つです。
データを取り扱う本人にはどのような権利があり、自社は何を保証しなければなりませんか。
本人には、あなたが対応できなければならない一連の権利があります。自身のデータへのアクセス権、訂正権、消去権(いわゆる「忘れられる権利」)、制限権、データポータビリティの権利、異議申立権です。原則として請求から1か月以内に、過剰または反復的な請求でない限り無償で対応する必要があります。
中小企業にとって実務上の課題は、権利そのものというより、対応できる体制を整えていることです。ある人のデータがどこにあるかを把握し、迅速に抽出・削除できる必要があります。データが地図もないまま10個ものツールに散らばっていると、請求のたびに小さな悪夢になります。
GiBSeS — 顧客データが常にどこにあるかを把握しておくことは、法律の問題であるだけでなく、業務上の整理整頓の問題でもあります。これは、適切なマッピングがもたらす好ましい副次効果の一つです。
AIが単独で顧客に関する決定(承認・拒否など)を下してもよいのでしょうか。第22条は何を定めていますか。
第22条は、法的効果を生む、または本人に重大な影響を及ぼす(与信の可否、採用、サービスの拒否など)決定について、本人には自動処理のみに基づく決定を受けない権利があると定めています。契約の履行に必要な場合や、明示的同意に基づく場合など、いくつかの例外があります。
例外に該当する場合でも、明確な情報提供、人による介入を求める可能性、自身の見解を述べる権利、決定に異議を申し立てる権利といった保護措置を確保しなければなりません。実務上は、AIが決定を支援することは構いませんが、人が実質的に介入できる必要があり、形だけの関与では足りません。
GiBSeS — AIの結果に人が介入するポイントを、形式的でなく実質的なものとして設計することは、防御可能な形でAIを組み込む私たちのやり方の一部です。
データ漏えい(データブリーチ)が発生した場合、何をどのくらいの期間で行う必要がありますか。
本人の権利にリスクをもたらす漏えいが発生した場合、不当な遅滞なく、かつ認知してから72時間以内に監督機関へ通知する必要があります。本人へのリスクが高い場合は、本人にも直接通知しなければなりません。すべての漏えいを通知する必要があるわけではありませんが、すべてを評価し、社内で記録する必要はあります。
72時間はあっという間に過ぎます。だからこそ、パニックの中で場当たり的に対応するのではなく、あらかじめ最低限の手順(誰が評価し、誰が決定し、何を伝えるか)を用意しておくべきです。適切に対応された漏えいは、隠されたり、まずく対応された漏えいに比べて、はるかに影響が軽くなります。
GiBSeS — 必要になる前にインシデント対応手順を用意しておくことは、私たちが中小企業に勧める中でも特に費用対効果の高い施策の一つです。
誤った対応をした場合、実際にどれほどのリスクがありますか。GDPRの制裁金はどの程度ですか。
GDPRには2段階の行政制裁金があります。より軽微な違反(取扱記録やDPAの欠如など)については、最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方が上限です。より重大な違反(基本原則、法的根拠、本人の権利、違法な移転など)については、最大2,000万ユーロまたは売上高の4%まで引き上げられます。
実際には、中小企業に対する制裁金は違反の重大性、協力の程度、講じた対策に応じて算定され、いきなり上限額から始まることはほとんどありません。ただし制裁金以外にも、レピュテーション上の損害や民事賠償が絡んできて、しばしば制裁金そのものより重くのしかかります。
GiBSeS — 目指すべきは制裁金への恐怖ではなく、筋の通った対応をしてきたと証明できる安心感です。それこそ、私たちがプロジェクトに持ち込む規律です。
GDPRとAI Actにはどのような違いがありますか。両方を遵守する必要がありますか。
はい、これらは別個の規則であり、同時に適用され得ます。GDPRは個人データを保護するもので、個人に関連する情報を取り扱うたびに適用されます。EU AI Act(AI規則)はAIシステムをそのリスクに応じて規制するもので、個人データを取り扱うかどうかとは無関係です。顧客をプロファイリングするAIシステムは、両方の規制の対象となります。
重なり合う部分では義務が積み重なりますが、重複させる必要はありません。適切なDPIAとAI Actが求める文書は、部分的に互いを補完し合えます。中小企業にとってのリスクは、両者を切り離された別世界として扱い、噛み合わない作業を二度行ってしまうことです。
GiBSeS — GDPRとAI Actを一つの体系として読み解き、重複を避けることは、Academy AI Actで私たちが取り組んでいるまさにその種のシンプル化です。
データを自社サーバー(オンプレミス)に置けば、プライバシーの問題を回避できますか。
オンプレミス、より広く言えば自社が管理するインフラ上でホストするAIやシステムは、いくつかの問題を根本から減らします。EU域外への移転がない、第三者のモデルに入力データを渡さない、アクセス権を直接管理できる、といった点です。特に機微なデータや戦略的なデータについては、データ主権を確保する強力な手段になります。ただしそれによってGDPRの他の義務が免除されるわけではありません。法的根拠、最小化、本人の権利、セキュリティは引き続きあなたの義務です。
また、オンプレミスは運用上の責任(アップデート、バックアップ、物理的セキュリティ)が増えることも意味します。すべての答えになるわけではなく、データの性質がそれを正当化する場合に、費用対効果分析を踏まえて選ぶべき選択肢です。
GiBSeS — 流行ではなくデータの実際の価値に基づいて、クラウドとオンプレミスをケースごとに選ぶことは、私たちのベンダー非依存アプローチの核心です。
監督機関の調査が入った場合、遵守していることをどう証明すればよいですか。
GDPRはアカウンタビリティの原則の上に成り立っています。遵守しているだけでは不十分で、それを証明できなければなりません。具体的には、整理され最新の状態にある文書、すなわち取扱活動の記録、プライバシー通知、取引先とのDPA、必要に応じたDPIA、漏えいの記録、本人からの請求の履歴を持つことです。明確な監査証跡(オーディットトレイル)があれば、調査は悪夢から単なる形式的な手続きに変わります。
AIツールが関わる場合、トレーサビリティの価値はさらに高まります。どのデータが、どのツールで、どの決定のために使われたかを把握できるからです。これは「信頼してください」と「お見せできます」の違いです。
GiBSeS — AIを導入する段階で監査証跡を後付けではなく組み込んでおくことこそ、私たちがツールを統合する方法です。定義上トレース可能である、ということです。
従業員のデータ(応募、評価)の管理にAIを使ってもよいですか。
使えますが、最も慎重を要する領域の一つです。従業員や応募者のデータは紛れもなく個人データであり、雇用関係にあることで同意を根拠とすることが難しくなります(同意は自由な意思に基づくものでなければならず、従属関係がある場合はそれが困難だからです)。履歴書の自動スクリーニング、AIによる評価やモニタリングは、しばしば第22条に関わり、DPIAが必要になることもあります。
多くの国では、GDPRに加えて労働に関する国内法(例えば遠隔監視に関する規定など)も適用されます。採用選考や評価を自動化する前に、プライバシーと労働法の両面を確認しておくことをお勧めします。
GiBSeS — HRを自動化する前にプライバシー面と労働法面をあわせて検討することは、プロジェクトを開始する前に私たちが行う360度の分析の一例です。
自社はDPO(データ保護責任者)を選任する必要がありますか。
すべての中小企業に義務があるわけではありません。DPOの選任が義務となるのは3つの場合です。公的機関である場合、主たる活動が大規模かつ定期的・体系的なモニタリングである場合、あるいは特別なカテゴリーのデータ(健康情報、思想信条など)を大規模に取り扱う場合です。多くの小規模企業はこれらに該当せず、義務はありません。
義務がない場合でも、専門知識を持って対応する担当者は必要です。社内の担当者を指名するか、外部のサポートに依頼することができます。義務がないことは、責任がないことを意味しません。
GiBSeS — 本当にDPOが必要なのか、それとももっと軽い体制で十分なのかを見極めることは、不要な体制を売りつけることなく最初に明確にする事項の一つです。
顧客データはどのくらいの期間、保存してよい、あるいは保存しなければなりませんか。
GDPRは単一の期間を定めていません。保存期間の制限の原則が適用され、目的に必要な期間だけデータを保持し、その後は削除または匿名化します。会計・税務関連の記録のように法律で保存期間が義務付けられているもの(国によって異なります)もあれば、正当な理由をもってあなた自身が定めるものもあります。
正しい実務は、データのカテゴリーごとに保存期間と、それを守るための仕組みを定めることです。「ずっと保存しておく」はポリシーではなく、いずれ自らに跳ね返ってくる蓄積されたリスクです。
GiBSeS — データカテゴリーごとに現実的な保存期間を定めることは、リスクと混乱を同時に減らす、こうしたシンプルなルールの一つです。
中小企業ですが、GDPR対応をどこから始めればよいか分かりません。最初の一歩は何ですか。
最初の一歩は、ソフトウェアを購入したり何ページものポリシーを書いたりすることではなく、現在何を取り扱っているかを正直に把握することです。どの個人データを集め、それがどこへ流れ、どのツールや取引先が関わり、どの法的根拠に基づいているか。このマッピングから、実際に優先すべき事項(多くの場合3〜4個の具体的な事項)がすぐに見えてきて、抱えてもいない問題を心配する必要がなくなります。
そこから、残りの対応を身の丈に合った形で構築していきます。まず高リスクの事項、次に文書化、そして継続的な改善です。最初から完璧なコンプライアンスというものは存在しませんが、正しく、証明可能な方向性はあります。
GiBSeS — この最初の現状把握と実際の優先順位づけこそ、私たちがすべての中小企業と共に始める診断そのものです。何かを動かす前に、まず30分であなたの現在地を把握します。
自社はEUに拠点がありませんが、それでもGDPRは適用されますか。
はい、EU域内に拠点がなくても適用される場合があります。GDPR第3条2項は、次の2つの場合にEU域外の企業にも規則の適用を拡張しています。EU域内にいる人に物品やサービスを提供する場合(無償であっても該当します)、または彼らの行動をモニタリングする場合(オンライントラッキング、プロファイリング、アナリティクスなど)です。
重要なのは国籍やサーバーの所在地ではなく、EU域内にいる本人を意図的にターゲットにしているかどうかです。単にヨーロッパの人があなたのサイトにたどり着いただけでは不十分ですが、ユーロでの決済を受け付ける、EU域内へ配送する、欧州言語版のサイトがある、ターゲットを絞ったキャンペーンを行っているといった場合には、適用対象に含まれます。
GiBSeS — GiBSeSは、欧州展開を始める前に、GDPRが実際にどの程度自社に関わるのかを見極めるお手伝いをします。
自社が本当にEU域内の人に「物品やサービスを提供している」かどうかは、どう判断すればよいですか。
判断基準は、サイトに単にアクセスできるかどうかではなく、EU市場を明確に対象としている意図があるかどうかです。監督機関が考慮する指標には、ユーロや加盟国通貨での価格表示、EU諸国への配送、自国の言語とは異なる欧州言語での提供、欧州の顧客への言及、EUの国別ドメイン、欧州向けの地域限定広告などがあります。
一方で、サイトが英語のみで、ドル建て価格であり、欧州への配送も行っていない場合、自らの意思で購入した偶発的なEU域内の顧客がいたとしても、それだけで自動的に適用対象になるわけではありません。これはケースバイケースの判断であり、記録に残しておくことをお勧めします。
GiBSeS — GiBSeSはあなたの販売モデルを分析し、欧州市場を「ターゲットにしている」かどうかを、防御可能な形で判断します。
EU域内で販売するには、欧州代理人を置く必要がありますか。
第3条2項に該当する場合、つまりEU域内の人に物品・サービスを提供している、あるいはその行動をモニタリングしている場合は、原則として必要です。GDPR第27条は、書面で欧州域内の代理人を指定することを義務付けています。単なる連絡先ではなく、本人が所在する加盟国のいずれかに設立された主体(自然人または法人)であり、監督機関とユーザーの双方に対する窓口として機能します。
代理人はプライバシー通知に明記する必要があり、取扱活動の記録を保持(または閲覧可能に)しなければなりません。注意点として、代理人を指定しても管理者としてのあなたの責任が免除されるわけではありませんが、代理人が不在であること自体が制裁対象となる違反です。
GiBSeS — GiBSeSは欧州代理人の選定と位置づけについて助言し、形式的な手続きがリスクに変わらないようサポートします。
自社は小規模企業ですが、欧州代理人の選任義務は免除されますか。
第27条の免除は、企業の規模ではなく取り扱いの性質によって決まります。取り扱いが偶発的なものであり、特別なカテゴリーのデータ(健康データ、生体データ、思想信条など)や有罪判決に関するデータを大規模に含まず、本人の権利にリスクをもたらす可能性が低い場合には、代理人の選任が免除されます。公的機関も免除対象です。
実際には、継続的に欧州で販売しているEU域外の中小企業の多くは、取り扱いが「偶発的」ではないため、この免除の対象にはなりません。この点を誤って判断することは、よくある間違いの一つです。
GiBSeS — GiBSeSは、免除に依拠できるのか、それとも代理人を選任した方がよいのかを、正しく文書化するお手伝いをします。
欧州の顧客データを自国(米国、アジアなど)に移転してもよいですか。
可能ですが、欧州経済領域外の国への移転には、第44条以下に基づく法的根拠が必要です。主な3つの方法は、(1)自国が「十分」と認められている場合の欧州委員会による十分性認定、(2)十分性認定のない国に対して最もよく使われるSCC(標準契約条項)、(3)企業グループ向けのBCR(拘束的企業準則)などの個別の保護措置です。
SCCを用いる場合、移転影響評価(Transfer Impact Assessment)や、暗号化などの追加的な技術的対策が必要になることもあります。単にデータを「移す」だけでは不十分で、EUと実質的に同等の保護水準を確保できることを示せなければなりません。
GiBSeS — GiBSeSは、データの流れを不必要に重くすることなく、自国に最も適した移転の仕組みを一緒に設計します。
自社は米国企業です。EU-US データプライバシーフレームワークがあれば、移転の問題は解決しますか。
部分的には解決します。2023年7月以降、EU-US データプライバシーフレームワークに基づく米国向けの十分性認定が存在します。自己認証を行い、該当する一覧に掲載されている米国企業は、その範囲のデータフローについてSCCを使わずにEUから個人データを受け取ることができます。
ただし2点注意が必要です。第一に、この十分性認定は実際に認証を取得し、フレームワークの義務を遵守している場合にのみ有効です。認証を受けていない場合は、別の仕組み(通常はSCC)が引き続き必要になります。第二に、過去の枠組みと同様、このフレームワークも司法上の異議申し立ての対象となり得るため、多くの企業はSCCを安全網として維持しています。
GiBSeS — GiBSeSは、長期的な安定性を考慮しながら、フレームワークに頼るか、SCCを使うか、あるいは両者を組み合わせるかを判断するお手伝いをします。
GDPR上、責任を負うのは自社、欧州の販売代理店、それとも輸入業者のどれですか。
GDPRにおける責任は、製品の商流ではなく、データに関する役割に従います。取り扱いの目的と手段を決定する者が「管理者」であり、第一次的な責任を負います。管理者に代わってデータを取り扱う者が「処理者」です。あなたが欧州のユーザーのデータ(アカウント、注文、トラッキングなど)を直接収集している場合、拠点がどこにあるかにかかわらず、あなたが管理者です。
EUの販売代理店やパートナーは、自らの取り扱いについて責任を負うのであって、あなたの取り扱いについてではありません。逆に、取引先があなたに代わってデータを取り扱う場合は、義務を分配する第28条に基づく契約(DPA)が必要になります。GDPR上の役割を、他のEU製品規制における「輸入業者」の役割と混同しないよう注意してください。
GiBSeS — GiBSeSは、あなたの欧州事業のデータフローをマッピングし、誰が管理者で誰が処理者か、どの契約でカバーすべきかを明確にします。
自社は欧州企業向けのEU域外SaaS/サービス提供事業者です。どのようなGDPR上の義務がありますか。
欧州の顧客企業が、そのユーザーや従業員の個人データをあなたに委ねている場合、原則としてあなたはその顧客企業に代わって取り扱う「処理者」となります。これにより、セキュリティ、機密保持、承認された再委託先、管理者への協力、契約終了時のデータの返却・削除を定める第28条に基づく契約(DPA)の締結が必要になります。
さらに、EU域外でデータを受け取ることになるため、国際移転の観点からは「輸入者」でもあり、適切なモジュール(管理者・処理者間)でSCCを締結する必要があります。EU域外の提供事業者がDPAとSCCを用意していないために、EU顧客との入札や商談が止まってしまうケースは少なくありません。
GiBSeS — GiBSeSは、欧州の顧客が求めてくるDPA+SCCのパッケージを一緒に準備し、形式的な不備で契約を逃さないようにします。
法令を遵守していない場合、具体的にどのようなリスクがありますか。制裁金、販売の停止でしょうか。
GDPRの制裁金はEU法の中でも最高水準です。より重大な違反については、最大2,000万ユーロ、またはそれを上回る場合はグループの全世界年間売上高の4%まで(それ以外の違反は最大1,000万ユーロまたは2%まで)です。さらに監督機関は、取り扱いやデータ移転の制限・停止を命じることができ、これが実質的に欧州での事業運営を止めてしまうこともあります。
これに加えて、レピュテーション上の損害、ユーザーからの苦情、そしてコンプライアンスの保証を提供できないことで欧州のB2B顧客から取引を排除されるリスクもあります。GDPRは製品規制のように税関で「商品を止める」わけではありませんが、あなたのビジネスが依拠しているデータの流れそのものを止めてしまう可能性があります。
GiBSeS — GiBSeSは、あなたのケースにおける実際のリスクを見極め、データ資産が問題になる前に安全な状態にするお手伝いをします。
サイトでアナリティクスやトラッキングを使っています。これによりGDPRの適用対象になりますか。
はい。EU域内にいる本人の「行動のモニタリング」は、第3条2項による適用のもう一つの入り口であり、販売の有無とは完全に独立しています。プロファイリング用クッキー、広告用ピクセル、リターゲティング、習慣や嗜好を再構成するアナリティクス、フィンガープリンティングなどが該当します。
欧州のユーザーをトラッキングしている場合、GDPRに加えて、クッキーに関する「ePrivacy」規制も適用され、厳密には必要のないツールを導入する前に、一般的に事前同意が必要になります。そのため、適法なバナー、プライバシー通知、該当する場合は欧州代理人、そして収集したデータの移転がある場合はその法的根拠が必要になります。
GiBSeS — GiBSeSはあなたのトラッキング環境を検証し、本当に必要なデータを手放すことなくEU市場にとどまるために、どこに手を入れるべきかを示します。
実務上、遵守してEU市場にアクセスするには、どこから始めればよいですか。
順序立てて進めることで、コストと予期せぬ事態を減らせます。要点は次の通りです。(1)第3条が自社にどう関わるかを確認する。(2)EU域内のユーザーについて収集している個人データと、自国への関連データフローをマッピングする。(3)法的根拠を定め、プライバシー通知と取扱活動の記録を準備する。(4)第27条に基づく欧州代理人の選任義務を検討する。(5)国際移転の仕組み(十分性認定、DPF、またはSCC)を整える。(6)取引先・顧客との契約(DPA)とセキュリティ対策を整合させる。
すべてを一度に行う必要はありません。市場アクセスを妨げるポイント(代理人、移転、B2B契約)から着手し、その後残りを固めていくのがよいでしょう。
GiBSeS — GiBSeSは独立したアドバイザーとして、特定の取引先に縛られず、過剰な規模のソリューションにも頼らずにEU市場へ参入できる、オーダーメイドのコンプライアンス・ロードマップを構築します。
自国のプライバシー法にはすでに準拠しています。それで欧州にも十分でしょうか。
残念ながら、それでは不十分です。カリフォルニア州のCCPA/CPRA、カナダのPIPEDA、ブラジルのLGPD、アジア各国の法律などを遵守していることは、GDPRを遵守していることと同じではありません。定義、法的根拠、本人の権利、文書化の義務、移転に関するルールが異なります。原則の一部は似ていますが、抜け落ちがちなのは、まさにGDPRが特に厳格な部分(同意、欧州代理人、国際移転)です。
良い知らせは、すでに行った作業の大部分――データの棚卸し、セキュリティ対策、ユーザー請求への対応手順など――は再利用可能であり、ゼロから作り直すのではなく、GDPRに合わせて「調整」すればよいということです。
GiBSeS — GiBSeSは、すでにあるコンプライアンス体制を出発点とし、欧州で事業を行うために必要な差分だけを埋めることで、重複した労力を避けます。
本コンテンツは情報提供を目的としており、法的助言に代わるものではありません。
新たな技術を追加する前に、自社データの現状を把握しましょう
GiBSeSは独立系のテクノロジーアドバイザーです。AIを売り込むことはしません。AIやその他のツールは、リスク・ベネフィット分析を経た後にのみ使用し、データ主権と監査証跡を標準設定とします。まずGDPRの現状とデジタルツールの実際の利用状況を診断するところから始め、そこから具体的な優先事項を、ロックインや不要な事務作業なしに組み立てていきます。
GiBSeSの診断を予約する