リスクマネジメント・コンプライアンス応用問題
J社はEU在住の個人Kのメールアドレスおよび購買履歴データを日本国内のサーバーで管理している。GDPRの観点から最も適切な説明はどれか。
A.J社は日本法人であるため、GDPRは一切適用されず、EUのデータ保護規制を遵守する義務はない。
✗ GDPRはEU域外の事業者でもEU在住者のデータを処理する場合に域外適用されるため、日本法人でも対象となり得ます。
B.J社がEU域内に拠点を持たなくても、EU在住者のデータを取り扱う場合にはGDPRが適用される可能性がある。← 正解
✓ 正解です。GDPR3条2項により、EU域内に拠点がなくてもEU在住者を対象とする場合はGDPRが適用されます。
C.メールアドレスは個人を特定できる場合でも、購買履歴と別々に管理すればGDPRの規制対象外となる。
✗ メールアドレスも個人識別可能な情報として個人データに該当し、管理方法にかかわらずGDPRの対象となります。
D.GDPR違反の制裁金は最大100万ユーロであり、大規模違反でも上限を超えることはない。
✗ GDPRの最大制裁金は2000万ユーロまたは全世界年間売上高の4%のいずれか高い方であり、100万ユーロは誤りです。