menu
%}

海外人事担当者がGDPR(EU一般データ保護規則)対応で考慮すべき点とは

 2021.11.26 サークレイス株式会社

はじめに

2018年5月25日に施行された「一般データ保護規則(GDPR)」。グローバルに事業を展開する当社のお客様からもGDPRへの対応において何をすれば良いのか、ご質問いただくことが増えてきました。
そこで、本記事ではGDPRに関する主要なポイントを整理し、海外人事担当の方々がどのような点を押さえておけば良いのかをご説明します。

AdobeStock_181379251 (1)

GDPR(General Data Protection Regulation:一般データ保護規則)とは

欧州議会、欧州理事会および欧州委員会が策定した、個人データ保護やその取り扱いについて詳細に定められた、EU域内の各国に適用される法令のことです。
昨今においては、グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれる分析を目的としたデータ取得の増大を背景に、個人情報保護の重要性は高まっています。それに伴い、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まってきています。

1995年には、EUデータ保護指令が策定されていましたが、それに代わる、より厳格なものとしてGDPRは発効されました。EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。GDPRは、2012年に立案、2016年4月に採択され、2018年5月25日に施行され、個人データを収集、処理をする事業者に対して、多くの義務が課されています。

また、EUデータ保護指令は各国での法規定は加盟国ごとにバラバラで良い「指令(Directive)」でしたが、GDPRは「規則(Regulation)」ですので、全てのEU加盟国に共通の法規則として適用されている点が大きな違いです。

<GDPRの対象となる個人データ>

GDPRでは個人データは「識別された、または識別され得る自然人に関するすべての情報」と定義されています。以下が具体的な定義されている個人データになります。

・氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子(IPアドレス、クッキー等)
・クレジットカード情報
・パスポート情報
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

<GDPRの適用条件>

GDPRの適用条件は以下となっています。

・GDPRは、管理者又は処理者がEEA(European Economic Area:欧州経済領域)内で行う処理に対して適用される。
・GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。
 -EEAのデータ主体に対し商品又はサービスを提供する場合
 -EEAのデータ主体の行動を監視する場合

GDPRの影響を受ける日本企業

GDPRはEUで定められた規則ですが、以下の3つの企業・団体・機関では、日本においてもGDPRの影響を受け、特に①は日本法人の海外人事担当者に直接関係するものとなります。

① EU加盟国に子会社、支店、営業所、駐在員事務所を有している企業
② 日本からEUに商品やサービスを提供している企業
③ EUから個人データの処理について委託を受けている企業

例えば、EU圏内に支店や営業所を作り、現地の人を従業員として雇用した場合や現地に従業員を駐在させた場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。

また、GDPRは違反企業に対して非常に厳しい罰則を定めています。例えば個人データの取り扱いに関して適切な安全管理対策を実施しなかったり、GDPRが定めている通りに個人データの取り扱いに関する記録を残していなかったり、あるいは、規定通りにデータ保護責任者が配置されていなかった場合などには、最大で該当企業における全世界年間売上の2%または1千万ユーロの、いずれか高い方が制裁金として課されると定められています(第83条第4項)。
更には、個人データの基本的取扱い原則(同意の条件を含む)に違反したり、データ主体の権利を侵害したり、域外移転に関するルールを遵守しなかったりした場合などには、最大で該当企業における全世界年間売上の4%または2千万ユーロの、いずれか高い方が制裁金として課されると定められています(第83条第5項)。違反を起こさないように、企業規模に関わらず大きな課題として取り組んでいくべき事柄であると言えます。

海外人事担当者はどう対応するべきか

AdobeStock_215636937 (1)

GDPRへの対応はデータ保護方針の作成など会社全体で行うものも多いですが、まずは海外人事担当者が主体的に取り組むことの出来る内容を理解し、可能なことから取り組むことが重要です。
① 現状を理解する
まずはどのように駐在員の個人データを取り扱っているか、現状を理解しましょう。
どのようなデータが存在し、誰がアクセス可能で、どのようにやり取りが行われ、どこに保管されているのか、正確に把握する必要があります。

② 管理体制・システムを改善する
現状把握に基づき、現在管理している個人データの課題を把握し、改善します。
例えば改善前のフローにおいて、駐在員などのデータ主体の許可を得ずに住所や氏名のデータを取得していたのであれば、ユーザーに取得・使用の許可を求めるフローの改善が必要になり、それらが可能なシステムの導入が必要となります。

③ 社内に浸透させる
体制やシステムを整えるだけでは意味がなく、社内教育を行い、浸透させる必要があります。GDPRは社員全員が理解していないと、自覚なく違反してしまう可能性があります。
体制構築と同様に、浸透も重要な要素です。

④ インシデントフローを構築する
GDPRでは、個人データへの侵害が確認された場合、関係当局へ72時間以内に報告することが義務付けられています。
72時間以内の報告が難しい場合は、遅延理由を添えた報告が必要です。
違反した際は高額な制裁金が発生する可能性があります。
インシデントが発生した際のフローは常に見直し、改善する必要があります。

サークレイスが提供するAGAVE(アガヴェ)によって実現できる2つの大きなポイント

海外駐在員管理クラウドのAGAVEは駐在員の労務管理に関連する情報を一元化・見える化することに秀でていますので、GDPRに対応した駐在員の個人情報の管理基盤として、以下2つの点でお役に立てます。

① 駐在員の個人情報をセキュアな環境で一元管理すること

AdobeStock_243112971 (1)
AGAVEでは、駐在員個人情報は一つにまとめられて、海外人事・駐在員どちらからも同じ情報にアクセスすることが出来るため、人事データベースに入らない駐在員の細かい情報、例えばVISA番号や帯同状況などが、人事担当者個人のPCフォルダに保管されて紛失するといったリスクがなくなります。
また、情報の更新とその承認フローを連動させることが出来るため、申請・承認・データの格納までを一つのシステムでシームレスに行うことが出来るため、個人情報を履歴が残しながら最新の状態に維持しやすいシステムになっています。

② 駐在員からの許諾を得て、データ取得・管理を行うこと

AdobeStock_231175514 (1)
AGAVEの利用に際し、駐在員に対して個人情報取得の許諾画面を表示することが出来るため、承諾を得た状態で機微な情報の取得・利用している体制をシステム面から実現することが出来ます。表示する文面についても文字数制限などはなく、自由な記載が可能です。

まとめ

長期的な企業の成長や戦略実現に向けて、個人データの取り扱いにおける取り組みの重要性は当たり前のものとなりました。GDPRへの対応を一つのきっかけとして捉えて、海外人事担当としてさらにもう一歩踏み込んで考える必要があるのではないでしょうか。企業が情報の取り扱いやセキュリティについて再考することは、企業の社会的価値をより高めることにも繋がると考えます。

参考:総務省ホームページ「EUにおけるデータに関するルールの整備・運用に関する動向」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113130.html 2021年11月21日
海外人事労務のDXを行うなら、豊富な実績を持つAGAVEで