GDPRと最近よく聞きます。

15年以上、ヨーロッパ進出支援をしています。ヨーロッパでの法人登記、特許、商標の出願、訴訟などを手がけてきております。ヨーロッパは、その個別の国の法令と、EU圏を包括する規則があるので、注意が必要です。

今回は、読者から多数の質問を頂きましたGDPRについてご説明差し上げます。

2018年5月25日EU一般データ保護規則 (General Data Protection Regulation、通称GDPR)が発効しました。

この規則は、データ保護をEU全体で統一化し、個人情報・プライバシーの権利を強化し、不正利用に対し、強力な執行力と罰則を与えるために作られました。

個人情報をいかに広範囲に収集し、それをお金儲けにつなげるかがキーになってきた感があります。Facebookをはじめ世界を席巻するGAFAは、これらに長けているところが勝因といえるでしょう。個人情報意識の特に高い欧州では、どのように個人情報を守れるかの議論が長年行われていたのです。この議論が具現化したものがGDPRと言えるでしょう。

GDPRの適用範囲は極めて広範です。

日本にしか拠点がないから大丈夫？日本でしか商売してないから大丈夫と思われた方、実は御社も対象になっているかもしれません。

というのは、提供する製品やサービスがEU市場に向けられている、及び／又はEUに住んでいる個人情報を収集する場合、GDPRは、EU圏内にある企業だけでなく、日本にある企業にも適用されます。

例えば、御社が、欧州に拠点を持たずとも、ドイツなどEU諸国へ製品を供給していれば適用されます。

また、海外からの訪問が多いサイトを運営している場合（特に、予約時に個人情報を収集する日本の旅行サイト、宿泊施設など）など、欧州で事業はなくても欧州に住む人間の情報を集めた場合は、適用されるのです。

• 御社の個人情報指針を見直し、GDPRに沿ったものへ修正
• 御社の同意指針を見直し、GDPRに沿ったものへ修正し、そして、これまで収集した個人情報について、再度、同意を求める
• 社内で、データ保護について責任者又はデータ保護担当者（DPO, Data Protection Officer）を任命する
• 収集した個人情報について、アクセスし、修正し、削除できるようにする
• 個人情報について、偶発的、違法、権限のない削除、紛失、変更、開示がないようセキュリティレベルを構築
• データが流出した場合、担当の当局に、遅滞なく通知（可能であれば、当該流出について分かった72時間以内）

これらは、ほんの一例です。すべての会社に同じように適用されるわけではありません。

GDPRを遵守に違反した場合の罰則はなんでしょうか？初めての違反や意図せず違反してしまった場合は、GDPRは、それほど厳しく処罰はしません。警告書やデータ保護の状態チェックの査察が入る程度です。

但し、何度も違反した場合や世界的企業の場合の罰則は深刻です。最悪の場合、違反した場合、2000万ユーロ以下又は全世界の4％のどちらか大きい方の課徴金となります。

2000万ユーロは25億円（2018年現在）ほどですので、ちょっとした会社が簡単に吹き飛ぶ金額です。

できるだけ具体的にご記述ください。また返答に時間がかかる場合や、返答できかねる場合もございますので、ご了承ください。