FC2ブログ

総務&法務担当の部屋     

現在、ある企業で法務担当として仕事に従事している者です。このブログは、特に法務に関する書籍や仕事を通じて感じたことを備忘録として書き留めておく為に立ち上げました。
2018年09月 ≪  12345678910111213141516171819202122232425262728293031 ≫ 2018年11月
TOP法務 ≫ KPMG・レクシスネクシス主催のGDPRセミナーに参加してきました。

KPMG・レクシスネクシス主催のGDPRセミナーに参加してきました。

1.GDPRセミナーに参加してきました

昨日(2/16)は、KPMG主催、レクシスネクシス・ジャパン共催のセミナー「EU一般データ保護規則(GDPR)の対応と日本企業のコンプライアンス戦略」に参加してきました。

IMG_20180217_081144_convert_20180217101925.jpg

GDPRの施行が、約3ヵ月後の2018年5月25日に迫っている中、具体的にどのような対応が必要なのか、いまいち分からないことからか、定員300名の会場はほぼ満席状態となっていました。

なお、私は、JETROが2016年11月に発行している「EU 一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」を読んでから本セミナーに臨みましたが、今回、名取法律事務所 弁護士 勝田弁護士によるGDPRの「概要」と「実務的影響」に関する講義を聞くことで復習となり、より理解が深まって良かったです。この勢いで、JETRO発行の「実務ハンドブック(実践編)」を読み進めていこうと思います。

また、以前、本ブログを通じてお知り合いになれた他社の法務担当の方と会場でばったりお会いして、双方の会社のGDPR対応状況について情報交換出来て良かったです。お声掛けを頂き、ありがとうございました。



2.域外移転に関する同意を拒否される可能性

上記の勝田弁護士の講義で個人的に特に参考となった内容について、以下の通り、配布されたプレゼン資料の該当箇所を抜粋させて頂こうと思います。


実務3-2 グローバル人事管理

(中略)

EU子会社の従業員情報を、日本の本社のデータベースなどで一括管理する場合には、必然的に、EU域外への個人データ移転が行われることになり、GDPRの域外移転の規制にかかる。

この点、域外移転の根拠として、明示的なデータ主体の同意(従業員の誓約書等)に基づき行う場合には、使用者と従業員との従属関係から、監督当局が同意の任意性に疑義ありとする可能性が高い

また、仮に有効とされた場合でも、同意した従業員と同意しない従業員とのデータは別に扱う必要ある。さらに同意は撤回可能なため、従業員が後に撤回した場合に実務処理に混乱が生じるおそれもあるため、BCRやSDPCに依拠した移転が望ましい場合が多い



JETROの「実務ハンドブック(入門編)」P42にも、上記中段と同様、任意性の疑義に関する解説がされていましたが、上記下段に記載の通り、従業員から域外移転について同意を得られないケースや、同意を得られた場合でも、後に撤回されるケースも想定されるので、二度手間を防ぐ為に、明示的同意を域外移転の根拠とするのではなく、初めから、BCR、SDPC、SCC等の「適切な保護措置に従った移転」対応をした方が良い、というのはハンドブックにも記載は無く、確かにその通りかと思いました。

なお、今、ふと疑問に思ったのは、域外移転について同意を求めたら、データ主体から明確に拒否された場合でも、「適切な保護措置」をすれば域外移転が出来るのか、という点です。


EU内の会社: あなたの個人情報をEU域外にある日本の親会社に移転することについて
          同意して頂けないでしょうか?

データ主体:  嫌です。絶対、止めてください。
          私の個人情報がEU外に移転されるなんて、考えただけでもぞっとします。

EU内の会社: ・・・。じゃあ、無理に同意してくれなくてもいいです。
          あなたの同意が無くても、日本の親会社とは標準契約条項(SCC)を
          取り交すことで域外移転が可能となりますので。
          じゃ、そういうことで。

データ主体:  ・・・。



こんな無茶なことは許されるんでしょうか。まぁ、そもそも、会社に対する嫌がらせ目的以外で、グループ会社間での個人情報の授受を拒否する従業員なんていないとは思いますが。

従業員から域外適用について拒否される可能性もゼロではないですが、そもそも、域外移転する情報は、自社グループの従業員情報に限らず、取引先の方の個人情報等も対象となる中、全ての取引先担当者から域外移転に関する同意書に一筆貰うのもシンドイので、いずれにしても、最低限、グループ会社間では標準契約条項(SCC)等を取り交した方が良さそうですね。



3.取引先の営業担当と名刺交換する際にもデータ処理の移転は必要なのか?

もう一個、疑問が生じたのは、域外移転については標準契約条項(SCC)等の「適切な保護措置に従った移転(GDPR 第46条)」で対応するとしても、「データ処理」についてはデータ主体から同意を得る必要がある中、EU内の会社が、名刺交換等で個人情報を入手する場合や、細かいことを言えば、相手方から送付されてきたメールの署名欄に個人情報が記載されていた為に、個人情報を自動的に取得してしまった場合に、その都度、データ処理に関する同意を得る必要があるのか、という点です。どこまで厳格にGDPR対応(同意取得対応)をすれば良いのか、いまいちよく分かりません。

全ての会社員が、名刺の裏やメール末文に、「私の個人情報を貴社がデータ処理することについて同意します」と一文、明示してくれれば問題は解決しますが、なかなかそうもいきません・・。

今回のセミナーで上記の点を質問しようと思っていたのですが、時間の都合上、質問コーナーが無かったので聞けず、また、JETROの「実務ハンドブック」には、さすがに、「ぶっちゃけ、そこまで厳格にやらなくてもOK」というような記載は無く、GDPRのルールに忠実に従った解説しかないので、運用上、どうしていけばいいのかは、今度、出てくるであろうGDPRの運用詳細解説本に期待したいと思います。



<超個人的な備忘メモ(最近、読み終わった本)>

・中国契約法(王 利明氏著作)

china_keiyakuhou_convert_20180217102042.jpg



・緊張をとる(伊藤丈恭氏著作)

kincho_convert_20180217102057.jpg



・契約審査のベストプラクティス ビジネス・リスクに備える契約類型別の勘所
(みらい総合法律事務所著作)

bestp_convert_20180217101952.jpg
関連記事
スポンサーサイト

Comment













非公開コメントにする
Trackback

Trackback URL