株式会社インターネットイニシアティブ(IIJ)の子会社でロンドンに本社を構え欧州で事業展開するIIJ Europe Limitedは、IIJグループ内で統一された情報管理ルールを文書化した「拘束的企業準則(BCR)」を英国の監督機関である「ICO」に申請したそうです。
これはEUの個人情報保護の枠組みを規定した新しい個人情報保護法でもある「一般データ保護規則(GDPR)」施行への対応の一環。
弁護士の協力のもと行ったBCRの申請は、2017年秋の承認取得を目指しているとのこと。BCRの承認取得は日系のクラウド事業者として初となる見込み。承認を得られればIIJグループはBCRに基づきIIJグループ内での個人データの越境移転を行うことが可能に。
EUの新個人情報保護法って?
同社によると、2018年5月25日よりEUにおいては、データ保護に関する新しいルールブックであるGDPRが適用されるそうです。
GDPRは、急速な通信技術やグローバリゼーションの進展を背景に、1995年に成立したEUのデータ保護指令の下で加盟国各国が立法したデータ保護法をより強化し、データ保護を企業や公的機関を含む組織・団体に義務付けるもの。
GDPRはEUデータの処理およびEU域内から第三国に個人データを移転するうえで満たすべき法的要件を規定。違反した企業は制裁金が科せられる可能性があるとのこと。
企業がEUのデータ保護指令およびGDPRを遵守し、データ移転を確実に行うにあたっては、適切な保護措置の導入手段として、データの保護措置について実施方法を文書化したBCRを策定し、EU域内管轄のデータ保護機関(DPA)から承認を得る方法があるそうです。なお、BCRはグループ全体に適用されます。
日系企業・団体が欧州でビジネスを展開する場合、EUのGDPRを遵守する必要があるうえ、顧客もまた、EUデータ保護法を遵守している処理者を使用することが義務づけられるそうです。
クラウドサービスやメールサービスなどを利用しEUの個人データ処理・EU域外への個人データの移転を行う場合、注意が必要となりますね。
EUの個人データを業務で取り扱う場合、EUのGDPRは無視できないようです。
おすすめ新着記事
おすすめタグ