本日はGDPRの施行日です。これまで５月25日に間に合わせるべくGDPRの準備を行ってきた方には、心からお疲れ様でしたとお伝えしたいと思います。
もちろん５月25日で準備が完了していない企業も多数あります。（こちらのほうが多数派のはずです）そういった方々は心配なさっているかもしれませんが、高い確率で心配される必要はないと思います。GDPRは継続的な活動であり、なすべきことを特定して粛々と進めていればよいものですから。

今日は、一つのマイルストーンとしての施行日であることから、GDPR後の話をしようと思います。

まず、Brexitについてです。

日本企業はイギリスに欧州本拠地をおいていることがしばしばあります。
2019年3月29日にはイギリスが欧州域外となるため、域外移転の適法化措置や主監督機関を変更するといった措置が必要となります。
同時にイギリス国内法であるData Protection Act(個人データ保護法)への準拠が必要となります。

もう10ヶ月ほどしかないので、対応を今から検討し始める必要があるでしょう。
私もまだ精査できていませんが、Data Protection Act(個人データ保護法)はGDPRよりも要件が高いという話です。
追加の対応が必要となる可能性があります。

次に、世界的なデータ保護の潮流を見逃してはなりません。

以下は、個人データの越境移転規制の拡大としてよく目にするものですが、越境移転規制を導入する国が増加しています。
欧州のみならず、こういった規制への対応も今後は迫られてくるでしょう。特にアジア圏は日本の企業が数多く活動している地域です。
こういった地域への対応も注意しておかなければなりません。個人データ保護の対応が欧州に限らないというのは、世界的にデータ保護の概念が急速に導入されていることにあります。

【個人データの越境移転規制の拡大】
■ 第1期：
EU （データ保護指令）(1995)、香港(1996)、オーストラリア(2000)
■ 第2期：
韓国(2011)、インド(2011)、台湾(2012)、マレーシア(2013)、ベトナム(2013)、シンガポール(2014)、
ブラジル(2014)、インドネシア(2016)、日本(2017)、フィリピン(2017)、EU(GDPR）(2018)

このブログでも何度か指摘しているように、いわゆる「データローカライゼーション」の動きにも注意が必要です。
データローカライゼーションでは「個人データ」を超えて「非個人データ」の移転も規制するため、製品開発等への影響も避けられず問題は更に複雑化してきます。
どういうデータが規制され、国外移転についてどのような要件があるかを専門家と確認してください。

中国のインターネット安全法に関連して、マイクロソフトは中国で取得するデータは中国のデータセンターにしか保存しないという対応をとっていると聞きました。
こういった対応が今後ますます重要になる可能性があります。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。