学協会はどこまでGDPRに配慮する必要があるのか?(日本学術会議公開シンポジウムに参加して)
セミナー, 2019.04.16高橋です。
新しい元号が発表され、いよいよ平成の終わりを実感してます。
今回は、3月27日に開催された日本学術会議公開シンポジウム「欧州一般データ保護規則(GDPR)に対する日本の学術界の対応」に参加してきましたので、そちらの報告です。
よろしければお読みください。
会場の様子です。参加者はおおよそ100名程度でした。
セミナーの概要
タイトル:欧州一般データ保護規則(GDPR)に対する日本の学術界の対応
主催:日本学術会議法学委員会、同「IT 社会と法」分科会
内容:プログラムの詳細はこちら
なぜ参加したのか?
ジャーナルサービス、大会サービス、会員管理サービスを提供するアトラスとしては、皆様に安心してご利用いただけるものを提供するために、GDPRに関する情報を継続的に集めています。
今回のシンポジウムはまさに「学会」と「GDPR」という2つのキーワードが入っており、情報を得るための又とない機会だということで、2名で参加しました。
参加してみて
資料が公開されていますので、詳細はこちらをご確認ください。
GDPRに対する 日本の学協会・研究機関の 実践的対応について
特に関心を持った点は以下です。ただし、こちらは口頭ベースの話も含まれており、個々の事例における厳密な法解釈については省いているので参考程度にしてください。
- 日本の学協会はEU域内に拠点のない管理者又は処理者なので、EU在住の個人データを取り扱う場合「域外適用」の対象となりうる。
- 日本の学協会の活動として、域外適用によりGDPRを順守する必要があるのはこちら。
- 物品の提供:学協会がEU在住の個人購読者に冊子体のジャーナルを送るなど
- 役務の提供:こちらは “EU域内の人に特定して役務(サービス)を提供する意思が明確”な場合に域外適用される。単に英語のWebサイト上のフォームを通してEU在住の個人データを保有したからといって、適用されるものでもない。
- 日本は、個人情報保護の状況がEUレベルであることを認定する「十分性認定」を受けているので、EUから日本への域外移転の手続は緩和されている。弊社のような民間企業や学協会は「十分性認定」の対象。
ただし、国の研究機関や国立大学などは対象外なので注意。
日本の学協会においては、EU在住の人だけにピンポイントで訴求するようなケースはほとんど無いと思うので、そもそも遵守すべき日本の個人情報保護関連法令に対応していれば、想像していたよりは神経質にならなくても良いかな、という印象を受けました。
今回は2名で参加してきましたが、参加者だけが情報を握っていても勿体ないです。
アトラスでは、外部で得てきた情報の共有と利活用のために、DocBaseというサービスを社内で利用しており、今回のシンポジウム後に早速GDPRに関するページに追記しました。
今後も最新情報があれば随時社内で共有し、学協会の皆様からのご相談にお応えできるように取り組んでいきます。
↓こちらが社内全体で共有されているGDPRの情報の一部です。タグもついているので、必要なときにすぐに探せます。
最後はちょっとした社内のプチ情報でした。