国内企業のGDPRへの対応状況

EEA圏内を対象としているGDPRですが、場合によっては日本国内の企業も対象となる可能性があります。本ページでは、国内企業のGDPRへの対応状況を解説します。

企業IT利活用動向調査2019

一般財団法人日本情報経済社会推進協会（JIPDEC）とアイ・ティ・アール（ITR）は、2019年に「企業IT利活用動向調査2019」を実施し、その内容を発表しました。

これは、欧州（EU）域内に事業拠点または顧客を持つ企業(約686社)を対象として、GDPRへの対応状況を調査したものとなっています。調査の結果、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」との回答が３割強となっています。

つまり、この調査内での範囲で言えば6～7割の企業がGDPRの制裁の対象になり得るということになります。GDPRに違反した際の制裁金は別記事でも解説しているとおり莫大な金額となっているため、もし仮に制裁の対象となった場合の企業への影響は計り知れません。

国内企業のGDPRへの関心

また、「GDPRの存在は知っているが何も対応していない」「特に気にすることなく個人情報の移転を行っている」と回答した企業も３割を占めていました。

未だに「対岸の火事」として認識しているか、もしくはそもそもその詳細を知らないということになりますが、プリンスホテルの予約システムの漏洩事件のように、日本国内企業でもGDPR違反として指摘された例があります。

もう一度自社の顧客、取引先(EEA圏内の顧客や取引先企業がないか)や、個人情報の取得、管理が適切に運用されているかを見直し、GDPRの対象になるかどうかを再確認することをおすすめします。もし対象になる可能性が見受けられた場合は専門家の指導のもと、対策を行っていく必要があるでしょう。

法改正による影響について

GDPRはあくまでEEA圏内の法律のため、まったく対象になり得ない国内企業もあると思われます。しかし、現在検討されている個人情報保護法の改正は、最速で2020年には施行されることになっています。その場合、GDPRの対象企業ではなくても知らぬ間に改正後の個人情報保護法違反として罰則を受ける可能性があります。

GDPRに限らず、すべての国内企業は自社の個人情報の取扱いを見直すべきタイミングと言えるでしょう。