GDPRとは | 日本企業が最低限とるべき4つの対応策 - 訴訟のケースも?

GDPR(EU一般データ保護規則)とは、基本的人権の確保やプライバシー保護を目的に策定・施行された管理規制である。個人情報の移転・処理・取得に規則を設けたGDPRは日本企業にどのような影響があるのか、対応への課題とともに解説していく。

GDPRとは | 日本企業が最低限とるべき4つの対応策 - 訴訟のケースも?

GDPRとは

GDPRとは、General Data Protection Regulationの略称であり、個人情報保護を目的に欧州連合(EU)が策定した規定。2012年に立案、2016年4月に採択され、2018年5月25日に施行された。

日本語で「EU一般データ保護規則」と訳されるGDPRは、EU諸国にノルウェー・リヒテンシュタイン・アイスランドを含めた欧州経済領域(EEA)で取得した氏名・メールアドレスなど、個人データの域外移転が原則禁止される。

また、個人データの取得・処理規制も厳格化され、法規則として規定されたのが大きな特徴といえるだろう。

GDPRは一見、EEA諸国以外は無関係に思えるが、なぜこれほどまでに問題となっているのか。実はGDPRは日本を含む世界中の組織を巻き込んだ法規則であり、主にプライバシーポリシー変更という形で一般ユーザーにも影響を及ぼしているのだ。

GDPRへの対応を迫られる日本企業

EUは、EEA域内にある「営利・非営利・規模の大小を問わないあらゆる組織」が、GDPRの対象だと明示している。つまり、組織のグローバル化が加速する現代において、日本を含む多くのEU非加盟国がその影響を受けざるを得ない。

EU/EEAに子会社などを持つ企業

GDPRでは、EEA市民はもちろん、一時的にEEA域内に滞在する個人のデータも規制対象となる。当然だが、日本企業でEEA域内に持つ子会社や関連会社、事業所などはGDPRの直接対象であり、本社機能が日本にあっても管理者としてGDPR対応が求められる。

このケースでは、日本本社の人事管理システムや、ERPでの従業員情報管理が「EEA域内からの個人データ移転」に該当することに注意が必要だ。

EU/EEAに商品やサービスを提供する企業

日本からEU/EEA域内の個人・法人に向け、商品やサービスを提供する企業は、現地に事業所や子会社が存在しなくともGDPRの規制対象となる。これは有償無償を問わず、アカウント作成で発生するEEA域内の個人情報取得が「個人データの移転」に該当するからであり、企業側はGDPRに準拠した手続きが必要となる。

具体的には、航空券・宿泊プランなどを提供する旅行代理店や、越境EC事業者がGDPRに対応する必要がある。そのほかにも、EEA域内の個人データを処理するデータセンター事業者や、SaaSを提供するクラウドベンダーも対象であり、その適用範囲は非常に広範だといえるだろう。

情報漏えいの発生

GDPRでは、個人データの移転に際し「本人の明示的な同意を得る」「標準契約条項の締結」などが必要とされ、情報漏えい発生時には「72時間以内に規制当局への届出」「該当個人への速やかな通知」などが義務責任となる。

これに違反した場合、全世界売上高の4%か2,000万ユーロ(約26億円)のいずれか高い方を制裁金として当該企業に課すという重い罰則が規定されている。GDPRへの対応は、グローバル展開する大企業だけでなく、中小企業であっても必要になる可能性が大きく、多くの日本企業が自社の状況を見極める必要があるといえるだろう。

日本企業のGDPR認知度は非常に低い

上述のように、日本企業の多くがGDPRの対象となる可能性があり、膨大な制裁金などの罰則が設定されているにもかかわらず、その認知は進んでいないのが現状だ。

日本企業の4割がGDPRの存在自体を知らない

下図は、2018年3月〜4月の期間、官公庁自治体や民間企業の998名を対象にトレンドマイクロが実施した調査結果をグラフ化したものであり、GDPRへの認知・理解度を表している。

出典:知らないとマズい - 最大約26億円の制裁金や個人情報利用停止措置を伴う「GDPR」施行まであと一週間

驚くことに、情報システムを含む各責任者の4割が「GDPRの存在自体を知らない」という結果となり、「名前しか知らない」を含めれば、65%以上がGDPRを理解していないことになる。

また、「理解している」「ある程度理解している」と回答した約34%の組織でも、GDPR対応済なのは10%にとどまっており、対応中を含めても積極的な対応を行っている組織が3割にも満たない状況であることもわかる。

こうした対応の遅れには、「GDPR施行開始までに対応完了しなくともペナルティがない」とか「自社にどのような影響があるかわからない」といった理由があると推察できる。

GDPR施行と同時に提訴されたケースも

民間企業をはじめとした日本の組織がGDPRに無関心ともいえる状況のなか、施行と同時にGDPR違反で提訴された大企業としてFacebookとGoogleが挙げられる。

両者の提訴理由は「個人情報を使い続けるため、ユーザーへ同意を強制する戦略を行っている」とされた。これ以外の訴訟案件には、ユーザーの位置情報を取得するゲームアプリ「Pokemon Go」なども含まれるという情報もあり、今後も関連した提訴の増加が見込まれる。

こうした状況に対応すべく、日本の組織も当事者としてGDPRに向き合う必要があるといえるだろう。

なぜ今フェイスブックが批判されるのか?4つのポイントを議会との対立から読み解く | ボクシルマガジン
現在のフェイスブックには、大きな悩みが2つある。1つは、2016年の米大統領選挙に影響を与えたとされるロシア関係の...