EU一般データ保護規則 (GDPR) が2018年5月28日にEEA諸国にて施行されて以来、その影響は世界中に及んでおり、日系ビジネスはよりやっかいな法令にも対応できるように体制を整えている。4分の１の企業が簡単な要件を既に満たし、また半数はそのように計画している。

GDPRは欧州諸国民のオンラインデータを保護する目的で作られており、したがって法令はEUビジネスに限らず、EU内で商品やサービスを提供する世界中のビジネスに及ぶ。

コンサルティングファームのPWCグローバルの調査によると、欧州にある日系ビジネスのわずか19％がGDPRに対する対応を終えた。日本とEU間では、法令に遵守しようとする日系企業の事務的負担を軽減するためのフレームワークについて大方同意している。しかしながら、日系企業は今、グローバルに影響を及ぼしているGDPRについての対応策を迅速にとっていく必要がある。今現在、まだ何も対応措置をとっていないという日系企業は取り残されているわけではない。私たちは今新しい法令に関する指示を次々と受け取っているところである。

中央大学法学部准教授である宮下紘氏は次のように述べている。企業のリーダー達は、GDPRを違反した場合のリスクについて気づいていない（後述の1）。個人データを保有しているアウトソーシング業者によって法律違反となる可能性もあり、それらの業者との契約についても見直すべきである。

ICOはGDPRに違反した場合、2,000万ユーロもしくは年間全世界売り上げの4％のどちらか高い方という厳しいペナルティを企業に課している。これに加え、権利を強化された被害者に対する補償をしなければならない可能性もある。近頃、WM Morrisonスーパーマーケット（後述の2）やCarphone Warehouse（後述の3）に多額な違反金が課されたが、規制がより厳しくなったことや最大ペナルティが増額されたことを受け、より遵守しなければならない必要が高まっている。

今では何か違反があった場合、72時間以内にICOに報告することが義務付けられており、以前は時間の設定や報告の義務はなかったものである。今のところ7％の日系企業がこのルールに従わなければならないとされている。

日経リサーチによると、ロイターが行った調査（後述の4）では、明確な言葉を使うことやＥメールが効果的とされる断定的な同意の取得を得ることなどの要件を満たすために、26％の日系企業がデータ保護ポリシーのアップデートをしたとのことである。日系企業はユーザーの情報をEU外に持ち出すことに対してユーザーの許可を得ることが必須である。企業はプライバシー通知のアップデートをするとともにどの部門がGDPRのチェックリストを満たすための変更が必要になるのかということを、法的基盤やデータ使用目的、個人データ保持期間、個人データの保管方法にを含めて見極める必要がある。

日系企業は今後予測される事態や要求にむけて準備を整えるべく、他のグローバル企業と協力すべきである。企業責任に関するスタンダードは強化されており、顧客は責任やコンプライアンスを要求すようになる。ルールは厳しいが、日系企業が欧州にてビジネスを行っていく限り、守っていかなければならないものであり、そうでなければそれ相応の代償を払うこととなる。

日本のデータ保護エージェンシーが欧州委員会と個人データ移行に関して取引しようと競い合っている中で、日系企業は状況を観察し、待っている状況である。ただ待ちの姿勢をとるだけではEUにある2,500社の日系企業が新しい規則に関して弱い立場にたたされる。私たちは日系企業がGDPRに関するリスクに完全に気づく前に、違反によって重い罰金を払うことがないことを祈っている。どうかこの自体を放って置かず、GDPRのルールに向きあい、遵守した企業となってほしい。