Photo By Shutterstock
2018年5月25日、GDPR(General Data Protection Regulation:EU一般データ保護規則)が施行される。
GDPRとは、欧州版の個人情報保護法といえるもので、EEA域(EUに加盟する28カ国とアイスランド、リヒテンシュタイン、ノルウェー)における個人情報の収集・格納・利用等に適用される。
EUは20年前に「データ保護指令95/46/EC」というデータ保護標準をすでに採用していたが、各国が導入する際に、それぞれの事情に合わせた改変が許容されていたため国によって内容にバラツキがあった。そこで、2016年4月のEU議会で採択が行われ、EU標準のデータ保護規則「GDPR」に統一されることになった。
その対象には、EEA域内で活動する企業だけでなく、域内の居住者データを扱うすべての企業が含まれる。GDPRでは、個人データの域外移転を厳しく規制しており、罰則も大幅に強化された。
文:伊藤僑
EUGDPR.org
データ保護は個人の基本的人権
近年、悪意ある者による攻撃や管理上のミスなどによって個人情報の盗難・流出が深刻な社会問題化する中で、GDPRでは、これを未然の防ぐための施策が随所に盛り込まれている。
まず、GDPRにおいて、データ保護は個人の基本的人権とみなされている点に着目したい。
これにより、EEA域内に居住する個人の情報を扱うすべての企業には、プロセスの明確化や自動化などによってデータ・プライバシーを確立することが求められている。
GDPRで策定された主要なデータ・セキュリティ要件は、評価・予防・検知に大別することができる。
データ保護影響評価が義務づけられているのは、個人データを扱う際に高いリスクを伴う可能性があるとき。
GDPRでは、セキュリティ侵害を防止することの重要性を繰り返し強調しており、暗号化や匿名化・仮名化、各種アクセス制御、データの最小化など、複数の攻撃防止技術が推奨されている。
また、侵害の検知には、個人データの操作の記録と監査を義務づけているだけでなく、一元的な管理も推奨。常時監視による異常の検知に加え、侵害された場合のタイムリーな通知も義務づけている。
GDPRの対象となる日本企業は?
地理的に遠く離れていることもあってか、日本におけるGDPRへの関心はあまり高いとはいえない。だが、GDPRへの対応が必要になる企業は意外に多いようだ。
GDPRへの対応が必要な日本企業として、まず思い浮かぶのは、EU域内に現地法人や支店をおいているケースだろう。
この場合、GDPRの規定に従って情報管理者や情報処理者を配置し、顧客や従業員の個人データを適切に扱うことが必要になる。現地法人や支店がEU域内で収集した個人データを日本国内で処理する場合にも、GDPRが定める通りのデータ処理が必須となる。
また、EU域内に個人情報を扱うサーバー等を設け、ネット通販などで域内に商品やサービスを販売している場合も同様だ。
盲点になりやすいのは、ネット通販のショップやサーバーを日本国内に設置している場合だ。設備は日本国内にあっても、EU域内に居住する購入者の個人データを扱っている場合にはGDPRの対象になる。
違反企業には厳しい罰則が課される
GDPRの大きな特徴のひとつとなっているのが、違反企業に対する罰則の厳しさだ。
中でも高額な制裁金の対象となるのが、個人データの違法な取り扱い、個人データにおけるセンシティブ情報の取り扱い規定違反、個人データの域外移転に関する規定違反、監督機関からの命令遵守違反。制裁金は最大で、その企業が全世界で得ている売り上げの4%以下、もしくは2千万ユーロ以下のいずれか高い方が課される。
厳しい罰則のためか、ベリタステクノロジーズが発表した「GDPRレポート2017」によれば、調査対象となった日本企業の72%が「GDPRを遵守できず、ビジネスに深刻な影響が及ぶ可能性」を懸念。また、63%は「施行日までに対応することは難しい」と回答しているという。
個人データ保護強化の潮流に乗り遅れるな
GDPRの対象となるEEA域の居住者は5億人以上にのぼる。日本とEUとの経済的なつながりはますます深まっており、経済連携協定(EPA)も結ばれる見通しとなった。
GDPRの施行によって、個人データ保護を強化しようという潮流は、今後、世界中にひろがっていくことも予想されている。
グローバル・ビジネスを展開していく上で、GDPRへの対応が難しいからと対応を先送りするわけにはいかないだろう。
参考:ベリタステクノロジーズ「GDPRレポート2017」、Oracle ホワイト・ペーパー2017年1月「EU一般データ保護規則(GDPR)への対応強化」