【ドイツの会計事務所・法律事務所が贈る お役立ちコラム】 ドイツ進出日系企業の最低限のGDPR対応 | 日本企業の海外進出支援サイト ヤッパン号


ドイツに関するコラム

【ドイツの会計事務所・法律事務所が贈る お役立ちコラム】
ドイツ進出日系企業の最低限のGDPR対応

5月25日からEUで2年前に施行となった一般データ保護規則 GDPRの導入期間が終わりました。企業の規模は関係なくGDPRを遵守しなければなりません。一週間が経過してどのような状況でしょうか?

A: 元々、ドイツの個人情報保護法はEUの中でも高レベルであるため政界は導入の負荷は限定的であるとの認識でしたがそれは誤算だったと思います。従業員が10名以上でパソコンやメールを毎日使っている会社は以前からデータ保護担当者を任命する義務がありました。

 データ保護監督局は5月25日までのデータ保護担当者(DPO)の当局への通知の期限を年内まで完了させたらペナルティは課さないと公開しました。恐らくDPOの任命が間に合わない企業が多いことに気がついたのだと思います。

Q: GDPRでコンプライアンス違反の罰金は連結売上高の4パーセントまでを課せられるとなっていますがドイツ進出日系企業にも課せられるのでしょうか?

A: この巨額の罰金が法律に盛り込まれたのはFacebookなどインタネット事業で個人情報がビジネスモデルで重要なアセットの企業をコントロールするためです。

B2Bのビジネスではそもそも特別に保護しなければいけない個人情報は限定的に扱っていることからGDPR違反が生じても個人の被害も限定的です。ペナルティは企業の個人情報保護に対しての重要性の認識と実際の被害を考慮しますのでドイツ進出の日系企業で巨額リスクを直面しているとは想像しにくいです。過去のペナルティより若干高くなる程度との専門家の見解を聞いています。

Q: データ保護監督局は企業の検査を行いますが日系企業が対象になる可能性は高いでしょうか?

A:インターネットでの通販、SNSのような事業ではなくてB2Bの卸業であれば検査の確率は低いです。データ保護監督局は先ずはインターネットビジネスと個人情報を扱う人材コンサルタントや会計士、弁護士、医者などで個人情報関連リスクが高い業界から検査すると宣言しています。

欧州法務,消費者保護担当委員Vera Jourovaの5月15日のGDPR関連のスピーチには次のポイントを述べています:

 

① データ保護監督局は不備を発見したら先ずは是正のアドバイスを提供する

② 5月25日から直ぐにペナルティを課す事は無いのでパニックに陥らない事。但し、最終的に各国のデータ保護監督局の裁量。

③ 実際のGDPR遵守が欧州全域で完了するのは未だ2年はかかると思う

④ ドイツのデータ保護法はGDPRに近いので対応は欧州の中でも最も変更は少ないはず

⑤ 8ヶ国で25日までにGDPRの国内法化が完了しない。ブルガリア、ギリシャ、リトアニア、スロベニア、チェコ、ハンガリーとキプロス。

Q: ドイツ進出日系企業としての対応は十分かご存知ですか?

A: ドイツの中小企業の75パーセントは25日までにGDPR対応は間に合わないとのアンケートの結果が公開されましたので恐らく日系企業の対応も完璧ではないと思います。GDPR対応のレベルが分かるのはホームページのプライバシーポリシーを見れば良いです。日系企業のドイツ子会社が運営しているHPのプライバシーポリシーを見ましたら一社はほぼ完璧でしたが、3社は対応していなく、他は色々と不備がありました。ドイツには「お節介弁護士」がコンプライアンス違反を指摘して忠告料を請求する事が認められています。裁判で争っても最終的にそのコストを負担する事になるケースが多いです。この「お節介弁護士」を恐れてHPをオフラインにする会社もあります。

Q:ホームページの他に急いで対応すべき分野は何処ですか?

A: 日系企業として一番GDPRの影響を受けているのは従業員の個人情報の扱いの分野だと思います。ドイツの現地法人又は駐在事務所は給与計算のために外部の会計事務所と本社と従業員の情報を共有しています。個人情報をメールで送信する場合は暗号化メールシステムを使用する事が義務付けられています。フランカスはGDPR導入前に給与計算のコミュニケーションはエンドツーエンド暗号化システムを用いてクライアントと情報交換しています。

Q: 個人情報削除の権利がGDPRで強化されましたが日系企業の場合はどこでインパクトがありますか?

A: ニュースレター登録者などの削除リクエストはGDPR導入前からドイツの個人情報保護法により義務付けられていますがGDPRで日系企業も全て対応が求められているのは就職活動者の個人情報の削除義務です。ドイツでは採用しなかった応募者の履歴書や連絡先は明確な承諾無しでは半年後に削除しなければなりません。

Q: 日系企業の欧州拠点は全面的にGDPRに対応しなければならないと理解していますが本社はどの程度影響を受けますか?

A: GDPRは欧州在住の個人の権利を定義していますのでEU域外の企業がこれらの個人情報を入手して処理する場合は欧州企業と同じ扱いとなります。そもそも日本の本社やその他の国の関連会社と個人情報の交付がある場合はEEA内から日本を含むEEA外への個人データの移転は原則として違法とされる事を認識しなければなりません。但し、データ輸出者とデータ輸入者との間で標準的契約条項(Standard contractual clauses:SCC)を締結すれば合法的なデータ輸出が可能です。これは欧州委員会がデータ処理契約に盛込むべきデータ保護に関する雛形で3種類あります。日系企業でこのSCCのみを締結すれば良いと誤解されているケースもあります。しかし、この条項は締結すべき包括的な安全管理上必要なデータ移転契約の一部であります。

Q: 日系企業で未だGDPR対応が不十分又は未だ何もしていない会社のワンポイントアドバイスをお願いします。

A: 対応が不完全又GDPR対応を開始していない場合はデータ保護のトラブルが生じた場合はペナルティや損害賠償請求に直面しますのでなるべく早く個人情報の扱いの安全管理に取り組むべきだと思います。

上記コラムを寄稿した専門家に直接相談
 ドイツ進出支援のプロフェッショナル
フランカス 公認会計士・税理士・弁護士事務所

ご質問やご相談にプロフェッショナルがお答えします。

海外進出に関する総合的な問い合わせ窓口
海外進出コンシェルジュ無料相談はこちら

ご相談の流れについて

掲載情報については取材先の企業から提供されているコンテンツを忠実に掲載しております。
ユーザーは提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は
何ら保証しないことをご了承ください。自己の責任において就職、転職、投資、業務提携、受発注などを行ってください。
くれぐれも慎重にご判断ください。

一覧に戻る
海外で会社(法人)を設立する方法
海外進出支援コンシェルジュ
海外進出支援コンシェルジュ
H.S. Planning (HK) Limited
  • 海外進出支援 専門家

海外視察ツアー
海外ビジネスセミナー
海外進出支援の専門家
海外進出Q&A
ページ上部へ
海外視察ツアー
海外ビジネスセミナー
海外進出支援の専門家
海外進出Q&A
海外ビジネスニュース
海外進出企業インタビュー
運営会社
運営方針
利用規約
プライバシーポリシー
商標について
特定商取引法に基づく記載
外部送信ポリシー
ご解約はこちら
イシングループの
メディアリンク