Photo By Shutterstock
スマホのアプリを立ち上げたら、規約の変更を伝える画面が表示された。利用してるSNSから、規約変更を知らせるメールが送られてきた。ユーザー登録してあるニュースサイトにアクセスしたら、個人情報に関する確認を求められた。
5月25日にGDPRが施行されて以来、個人情報に関する規約の変更などを発表・通知する企業やサービスが多くなってきた。
国内外の有力企業が着々とGDPR対応を進める中で、「我が社もやらなきゃダメかなぁ」と頭を悩ます経営陣や情報管理担当者も少なくないだろう。
しかし、「GDPRレポート2017」(ベリタステクノロジーズ)によれば、GDPR対策予算は世界平均で143万ドルとされており、「気になるから一応対策をしておこうか」と気軽に実施できるレベルのものではない。
自社にとってGDPR対応は、それだけの予算と手間をかける価値があるかどうか、なかなか見極めがつかない。周囲の様子をうかがっているうちに、ズルズルと対策が遅れてしまう。そんな困惑の声も漏れ聞こえてくる。
文:伊藤僑
「費用負担が大きすぎる」との声も
GDPR対応を進める各社のサイト。Microsoft、Facebook、楽天、Google。
ここでGDPRについて復習をしておこう。
GDPRの対象となる個人データとは、欧州経済領域(EEA:EU28カ国+ノルウェー、アイスランド、リヒテンシュタイン)にいる個人に関するあらゆる情報のこと。居住の状況や国籍ではなく、そこにいる(所在している)ことが適用基準となるため、例えば、EEAを旅行で訪れた東京在住の日本人の個人情報も対象になる。
また、欧州内に拠点を置いている企業だけでなく、日本のような域外から個人情報管理を行っている場合にも適応されることに留意したい。これにより、多くの日本企業がGDPRの適用対象となる可能性が出てきた。
海外拠点を複数有し、グローバルにビジネスを展開するような大企業であれば、「GDPR対応をしない」という選択肢はないだろう。中堅以下の企業でも、欧州をビジネスの主戦場としているなら同様だ。
悩ましいのは、自社ビジネスにおける欧州市場の割合が、あまり大きくない企業だ。得られる利益に対して費用負担が大きすぎるとなれば、十分な対策は困難となる。欧州市場からの撤退を考えるところも出てくるだろう。
だが、欧州での営業活動を止めて支店を閉じればGDPR対応をしなくても済む、というほど単純なものではない。
既存の顧客に対するサポートを放り出すのか。オンラインショップやゲームなど、ネット上で展開するビジネスは、「EUにいる人はお断り」と告知するのか。国内向けに日本語で運営している情報提供サイトに、欧州から会員登録要請があっても拒絶するのか……課題は山積みだ。
いまや市場は地理的要因だけで分割・構成されているわけではない。ネット上のサイバー空間が拡大し、グローバル化が進展する中で、無理に欧州だけを切り離して扱うことは、戦略上マイナスに働く恐れもありそうだ。
また、GDPRの対象が顧客だけではなく、従業員や取引先の個人情報も含まれる点も忘れてはならない。コンシューマ向けのB to Cだけでなく、企業間取引であるB to BにもGDPRは適応されるのだ。
中国が2017年に施行した「サイバーセキュリティ法」や、ロシアの「個人データに関するロシア連邦法」(2015年)など、欧州以外でも個人データ保護法制の強化は進んでいる。GDPRから逃れるために欧州から撤退したとしても、世界中で進む個人データ保護法制強化の潮流からは逃れられない。
プライバシーポリシーの確立からはじめる
では、GDPRに対応するための十分な予算を組むことができない中小規模の企業はどうしたらよいのだろうか。
標準的なGDPR対策の進め方としては、管理すべき個人データを扱う業務の洗い出し~個人データの処理記録の作成~サイバーセキュリティ対策~プライバシーポリシーの確立・公開~標準的契約条項(SCC)の締結という流れになるだろう。だが、これらを順序通りに実行していくためには、予算も人手も必要だ。
そこで、まず「GDPRの内容を踏まえたプライバシーポリシー」を確立し、企業のウェブサイトに公開することから始めるという手順を推奨する専門家もいる。
GDPRを運用するためのデータ保護監督機関は欧州各国にあるが、スタッフの数には限りがあり、対象となる膨大な数の企業すべてに、常に目を配っているわけにはいかない。
EUのベラ・ヨウロバー欧州委員も、「まずは大量の個人データの処理を事業としている組織や、医療や保険などの機微情報を扱う組織の対応を注視する」(日経新聞電子版2018/5/31)と発言している。
顧客からの苦情や、大規模な個人情報の漏洩でもない限り、中小規模の企業がGDPRへの対応状況を詳しく調査される可能性は低い。公開しているプライバシーポリシーの内容がしっかりしていれば、当面は乗り切ることができそうだ。
そして、予算的にゆとりができてきたら、管理すべき個人データを扱う業務の洗い出し、個人データの処理記録の作成、サイバーセキュリティ対策と進めていけばいいのではないだろうか。
今秋には日本も十分性認定を受ける見込み
GDPRでは個人データの域外移転を原則禁止しているが、情報の保護水準がEU並みと認定された国・地域に限っては移転を認めており、これを十分性認定と呼んでいる。
現時点で認定を受けているのは、スイス、カナダなど11カ国に限られるが、今秋には日本も十分性認定の対象国に加わる見込みだ。
これにより、個々の企業への負担も軽減されることが期待できる。本格対応は、それから始めても遅くはないだろう。
早期からGDPR対応に取り組んできたはずのFacebookが、施行直後に提訴されたことからも分かるように、GDPR対応の最適解は未だ見つかっておらず、手探りの状況だ。
スタートしたGDPRの運用状況を見極めながら、自社の進むべき道を見いだしていくべきではないだろうか。