　例えば日本を本社とするグループ企業では、EU域内のディストリビューター（販売代理店、輸入業者）やリセラー（小売店、店舗）、本社の間で、さまざまな業務連絡やファイル共有を行います。企業は従業員に対して、個人データの取得・利用を説明するプライバシーノーティス（通知）を行う必要があります。説明の中には、連絡先、メールアドレスはもちろんのこと、給与明細や年金を現地の税務当局や保険当局に対して開示することも含まれます。

企業がやるべきこと。「Infographic」（欧州委員会のWebサイト）

　ヨーロッパの観光客の旅行手配を受け付ける日本インバウンドの旅行会社は、受け入れ先のホテルやオプショナルツアーを催行する企業や日本の交通機関、サービスプロバイダーなど、データを輸出・輸入する業者間で、データ保護義務を課す契約的対策をとってデータ移転を行います。契約的対策の1つに標準契約条項（SCC）があり、この枠組みで対策をとれば、ほとんどの企業は普通に対応できます。

──　フリーランサーなどの個人事業主のビジネスにも影響しますか。

　個人あるいは家庭における個人データの利用についてはGDPRは適用除外にしていますが、利用が家庭にとどまらずEU域内の不特定多数を対象とするなら、個人・企業という区分はなく、GDPRが適応される可能性があります。しかし、社会的な影響力を鑑みれば、監督機関による取り締まりの厳しさに差があるかもしれません。

──　日本の企業はすでにGDPRに対応していますか。

　東証一部上場企業のレベルで半分ほど対応を終え、今は大手企業が利用しているアウトソースサービスの提供会社に火がついている感じですね。GDPRでは、コントローラー（管理者）とプロセッサ（処理者）の間で個人データ保護義務に関する定型化された契約を結ばなければならない。今は、個人データを管轄する立場の大手企業であるコントローラーが、データ処理の外注先であるプロセッサ（サーバやスケジュール管理などのツール提供企業や業務アウトソース先）に対して対応を求めている段階です。

管理者と処理者の関係性（NTTデータ先端技術より）

──　EUに拠点がありながら、日本のサーバを使用している中小企業や個人事業主も多いと思います。

　中小企業や個人事業主が運営するWebサイトに最も求められる対応は、（1）個人データの利用目的の説明、（2）誰に個人データを開示するのか（サーバなどを提供する日本企業に開示）、（3）開示に伴って個人データがEU域内に移転されることなど、個人データの処理内容に関する情報を提供することでしょう。

　GDPR第13条に基づくフェアプロセッシングノーティス、プライバシーノーティスというスタイルでの個人データの処理内容をきちんと説明することです。運営しているWebサイトがアドテク企業にスペースを売ってマネタイズしているなら、Cookieの利用についても同意をとらなければならないのは確か。繰り返しになりますが、GDPR適応については個人も企業も同じです。