これまでのかなりの期間にわたり、多くの企業がGDPRを遵守していることから、弊所ではデータ保護のコンプライアンスについてのお問い合わせを日常的に頂いております。今回のニュースレターでは、最初のコンプライアンス対応を終えた後に、企業が何をすべきかについて、よくある質問を取り上げます。
- 2018年にデータ保護関連の書類をアップデートしました。その後は何もしなくてもいいということですか?
- 端的に言うと答えは「いいえ」です。個人情報の取扱い方法に変更がない場合でも、文書を定期的に見直し、必要に応じてアップデートすることが重要です。年に一度の見直しを行う理由を以下に記載します:
- 保有するデータとその処理方法は、時間の経過と共にしばしば変化します。データ保護法を遵守するためには、データ要件に従うことを確実にすることが必要です。例えば、データの処理についての詳細や、データ処理の際にどのような法的根拠に依拠しているかについては、プライバシーポリシーに記載する必要があります。時間の経過と共に変更があった場合は、ポリシーを更新して正確な状態を維持する必要があります。
- 英国個人データ保護監督機関 (Information Commissioner’s Office (ICO))および欧州データ保護委員会 (European Data Protection Board) からの数年分の判例法およびガイダンスがあります。GDPRは原則主義であるため、これはカバーされない部分を補填するのに役立ち、GDPRが実際にどのように解釈されるかについての指針が示されています。これは、貴社の対応方法を確認し、文書に何か変更すべき点があるかを確認する一助となります。
- データ保護について社員研修を行うべきでしょうか?
- 意図せずに、あるいは(稀ではありますが)意図的に、データ侵害が従業員によって引き起こされることは珍しくありません。例えば、従業員がUSBメモリやノートパソコンを紛失したり、アクセス権のない第三者に個人情報を送信してしまうことが挙げられます。これは、従業員、特に個人情報の取扱いを職務とする従業員に対して、定期的な研修を行うことが非常に重要であることを意味します。
もしデータ侵害が発生し、ICOへの報告が必要になった場合には、侵害に関与した従業員が過去2年間にデータ保護についての研修を受けていたか否かが問われることになります。従業員を研修することは、データ侵害を未然に防ぐために有効な手段であるだけでなく、企業としてデータ保護に真剣に取り組んでいる姿勢を示すことにもなります。
- 手順に関して何かすべきことはありますか?
- 上記の冒頭に記載した通り、手順を定期的に見直すことをお薦めします。これには、貴社が必要な対応策をとっており、それが適切に機能していることを確実にするために、個人情報の処理方法についての再検討や監査の実施、または貴社の手順(例えば、データ侵害の対処策など)を確認することが含まれます。
また、貴社の事業内容の変更やEU離脱関連の変更なども、手順を見直すべき要因となります。これらの場合には、今までの手順を変更する必要があるかどうかを検討すべきです。
- 欧州(EEA)から英国へのデータ移転に関して何か変更はありますか?
- 現時点では、EEAから英国への個人情報の移転は、一時的に2021年1月1日から最大6ヶ月間は、今まで同様に認められています。この一時的な取決めが終了する前に、EEAから英国への自由なデータ移転を可能にするための十分制認定を受けることが期待されます。
欧州委員会が英国への自由なデータ移転を支持し、英国が個人情報を十分に保護しているとする決定案を発表したことから、十分性認定に一歩近づきました。この決定案は、十分性認定を保証するものではありませんが、EEAから英国へのデータ移転を行う企業にとっては非常に良いニュースです。
継続的なコンプライアンスのサポートをご希望の場合、または、データ保護法全般に関するご質問については、3CSのコーポレート/コマーシャル部門までご連絡ください。
