今までいただいたご質問の中で多かった質問とその回答例です。
詳細画面から専門家に、メール相談や直接会っての面談などを申し込むことができます。
弊社はいわゆるEC(ネットショップ)を営んでおり、最近は海外のお客様も増えてきました。日本企業でも海外の個人情報保護法も遵守する必要があるのでしょうか。
顧客が在住する各国の個人情報保護法を遵守する必要があります。
日本企業であっても、グローバルビジネスを展開する場合には海外の個人情報保護規制に対応する必要があります。しかし、中小企業では、適用可能性のある全ての国の規制を詳細に調査して個別に対応するのは難しいことも多いので、現地当局による制裁金のリスク、個人との紛争リスク等を考慮して、リスクが高いようであれば、主だった国・州の規制に合わせてグローバルな対応をしておくことも考えられます。
特にEU一般データ保護規則(GDPR)への対応は重要ですので、いくつかの特徴的な点を紹介します。
・ GDPRは、欧州経済領域(EEA)域内に所在する個人を識別できるあらゆる情報(氏名、住
所、メールアドレス、IPアドレスなど)を「個人データ」と定義しています。
・ プライバシーポリシーに関しては、日本の個人情報保護法よりも広範な記載項目が定められ
ています。特徴的なのは、各個人データの処理目的に加え、適法化根拠(同意、契約の履
行、正当な利益等)を記載する必要があるという点です。
・ 個人データのEEA域外への移転に関して、日本は十分に個人データ保護を講じている国とし
て認定を受けているため、移転可能ですが、他の十分性認定を受けていない国への移転が行
われる場合には、標準契約条項(SCC)等による対応が必要となります。
・ EEA域内に拠点がなく、定期的に当該法域内の個人データを処理している場合等には、現地
での代理人選任義務が課され、そのためにコストがかかります。さらに、ターゲティング広
告等個人の行動履歴や属性に関する情報を収集し、分析・予測を行うビジネスその他一定の
場合には高い独立性と権限を有するデータ保護責任者(DPO)を選任する必要があります。
そのほか、近年では、GDPRと類似・同等の規制を導入する国も増えており、カリフォルニ
ア州のCPRA、ヴァージニア州のCDPA、コロラド州のCPA、中国の個人情報保護法等への対
応も重要になります。