「十分性認定」でGDPRへの対応がいらなくなるわけではない
もっとも、「十分性認定」がなされても、制裁金の恐怖から逃れることは難しそうだ。
東京都内の弁護士は、「EUから取得した個人情報については、結局GDPRにそった取り扱いをしなければならいことは変わらない。一部の手続きが免除されるだけで、制裁金から逃れることができるという話ではない」と話す。
「誤解している人が多いが、十分性認定によって、GDPR対応がいらなくなる企業はあまり考えられない。むしろ、対応が必要ないと誤認して、制裁金が課される確率が高まる可能性さえ考えられる」
GDPRについては、制裁金の規定があるためか、改正個人情報保護法の施行(2017年5月)の時よりも企業の担当者の関心が高いという。ただ、国内企業の対応は遅れており、2018年5月24日付日経新聞もGDPRについて日本の主要企業の8割が対応未了だと報じている。
「制裁金への恐怖から企業は対応に追われてコンサルティング会社に駆け込んだりしているようだが、多くのコンサルは法律に弱くて明らかに誤った対応をしている企業も散見される。本当にちゃんと対応できている企業は1割未満では」(前出の弁護士)