目次を閉じる
- GDPRとは
- 個人データの取得・処理規則も原則化へ
- GDPRの違反で制裁金も
- なぜGDPRが必要とされたのか
- GDPRへの対応を迫られる日本企業
- EU/EEAに子会社などを持つ企業
- EU/EEAに商品やサービスを提供する企業
- 情報漏えいの発生
- GDPRの義務内容
- 個人データの処理
- 個人データの移転
- 基本的権利の保護
- GDPRで定義される個人データ
- 個人データの定義と例
- 保護対象となる個人データの範囲
- 日本企業のGDPR認知度は非常に低い
- 日本企業の4割がGDPRの存在自体を知らない
- GDPR施行と同時に提訴されたケースも
- 最低限とるべき4つのGDPR対応
- 1. データマッピングによる分析
- 2. プライバシーポリシーの改訂、同意の取得・撤回の仕組み構築
- 3. 責任者と報告手順の決定
- 4. セキュリティへの対応
- 欧州委員会が日本の十分性認定を検討
- 十分性認定とは
- GDPRは十分性認定だけでは対応できない
- GDPRを逆手に企業のブランディングに
GDPRとは
GDPRとは、General Data Protection Regulationの略称であり、日本語で「EU一般データ保護規則」という意味です。基本的人権の確保にもとづいた個人情報保護を目的に欧州連合(EU)が策定した規定で、2012年に立案、2016年4月に採択、2018年5月25日に施行されました。
EU加盟国28か国にノルウェー・リヒテンシュタイン・アイスランドを含めた欧州経済領域(EEA)において、取得した氏名・メールアドレスなど、個人データの域外移転が原則禁止されます。
個人データの取得・処理規則も原則化へ
また、個人データの取得・処理規制も厳格化され、法規則として規定されたのが大きな特徴といえるでっしょう。
個人データ収集を行う企業をはじめ、どのようなデータを保有し、どう活用しているか情報提供を求める権利、不正確な場合に修正を求める権利、情報提供の同意を撤回して削除を求める権利、他の管理者に移転する権利などが、カスタマーに保障されます。
その遵守対象は、規模の大小や運営形態を問わず、公的機関や非営利団体も含んだすべての組織とされ、ネット取引なども対象となります。
GDPRの違反で制裁金も
注目すべきは、違反した場合に課せられる莫大な制裁金です。全世界売上高の4%、もしくは2,000万ユーロのいずれか高い方とされるその金額は、1ユーロ125円で計算しても最低25億円となり、EEA域内に関連会社を持つグローバル企業にしても、天文学的な金額といえるでしょう。
なぜGDPRが必要とされたのか
EUが、法規制としてのGDPR施行を決断した背景には、インターネット経由で相次ぐ個人情報の流出に歯止めがかからないことが挙げられます。このため、GDPR発効以前に策定されていた、各加盟国に法規制を委ねる「EUデータ保護指令」から、より効力のあるGDPRへと強化されたのです。
これは、国家でさえも個人のデータ・履歴を握るべきではない、というEUの考え方が根底にあり、失われたプライバシーやアイデンティティのコントロールを、個人の手に取り戻すことを目的としているのです。
GDPRへの対応を迫られる日本企業
GDPRは一見、EEA諸国以外は無関係に思えますが、実はGDPRは日本を含む世界中の組織を巻き込んだ法規則であり、主にプライバシーポリシー変更という形で一般ユーザーにも影響を及ぼしています。
EUは、EEA域内にある「営利・非営利・規模の大小を問わないあらゆる組織」が、GDPRの対象だと明示しています。つまり、組織のグローバル化が加速する現代において、日本を含む多くのEU非加盟国がその影響を受けざるを得ない、ということです。
具体的に対応が迫られる日本企業について説明します。
EU/EEAに子会社などを持つ企業
GDPRでは、EEA市民はもちろん、一時的にEEA域内に滞在する個人のデータも規制対象となります。当然ですが、日本企業でEEA域内に持つ子会社や関連会社、事業所などはGDPRの直接対象であり、本社機能が日本にあっても管理者としてGDPR対応が求められます。
このケースでは、日本本社の人事管理システムや、ERPでの従業員情報管理は、「EEA域内からの個人データ移転」に該当することに注意が必要です。
EU/EEAに商品やサービスを提供する企業
日本からEU/EEA域内の個人・法人に向け、商品やサービスを提供する企業は、現地に事業所や子会社が存在しなくともGDPRの規制対象となります。
これは有償無償を問わず、アカウント作成で発生するEEA域内の個人情報取得が「個人データの移転」に該当するためであり、企業側はGDPRに準拠した手続きが必要となります。
具体的に対応の必要があるのは、航空券・宿泊プランなどを提供する旅行代理店や、越境EC事業者です。そのほかにも、EEA域内の個人データを処理するデータセンター事業者や、SaaSを提供するクラウドベンダーも対象であり、その適用範囲は非常に広範だといえます。
情報漏えいの発生
GDPRでは、個人データの移転に際し「本人の明示的な同意を得る」「標準契約条項の締結」などが必要とされ、情報漏えい発生時には「72時間以内に規制当局への届出」「該当個人への速やかな通知」などが義務責任となるので注意しましょう。
これに違反した場合、全世界売上高の4%か2,000万ユーロ(約26億円)のいずれか高い方を制裁金として当該企業に課すという重い罰則が規定されています。
GDPRへの対応は、グローバル展開する大企業だけでなく、中小企業であっても必要になる可能性が大きく、多くの日本企業が自社の状況を見極める必要があるといえるでしょう。
GDPRの義務内容
まずは、GDPRで定められている個人データの処理・移転とはなにを意味するのか、そして遵守しなければならない義務内容とはどのようなものかを紹介します。
個人データの処理
大前提として「個人データの処理」には、収集・保管・変更・開示・閲覧・削除などが含まれ、個人データに対して行われるほぼすべての行動が処理と見なされます。GDPRでは、こうした個人データの処理を行う企業などを管理者(Controller)、データの所有者である個人をデータ主体(Data Subject)として定義しています。
GDPRが管理者に課している、個人データ処理の義務内容は次のようなものです。
- データの処理・保管に際し、適切な安全管理措置を講じなければならない
- 目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
- 情報漏えいが発生した際は、72時間以内に監督機関、データ主体に遅延なく通知しなければならない
- 定期的に大量の個人データを扱う組織は、データ保護責任者を任命しなければならない
個人データの移転
GDPRによって保護された個人データは、EEA域内から第三国などの域外への移転が原則として禁止されます。この原則移転禁止はもちろん、ネット取引などにも適用されます。
とくに、欧州委員会によって適切な個人情報保護制度を有していない、と見られる日本のような国へのデータ移転は、本人の同意を得る、拘束的企業準則を策定する、標準契約条項を締結するの、いずれかを満たす必要があります。
基本的権利の保護
基本的人権の確保にもとづいた個人情報の保護を目的にするGDPRでは、個人データ取得に際しても細かくルールが定められています。
- 管理者は、身元や連絡先、データ処理の目的、保管期間、第三者提供の有無など、データ主体が有する権利を、明瞭かつわかりやすく通知しなければならない
- 管理者は、データの取得について明確な方法で同意を得ると同時に、データ主体が同意を自由に撤回できる権利を行使できるようにしなければならない
- データ主体から直接個人データを取得していない場合、管理者は入手先をデータ主体に通知しなければならない
これら主だったもののほかにも、99条にわたる規制事項がGDPRでは定められており、個人の基本的権利を保護する、という考えが徹底されているといえるでしょう。
GDPRで定義される個人データ
基本的人権の確保を目的に、管理者による個人データの処理・移転が規制されるのがGDPRであり、その義務内容は上述のとおりです。それでは、GDPR遵守の対象となる個人データとは、具体的に、どのようなものなのでしょうか。
個人データの定義と例
GDPRによる個人データの定義は「識別されたまたは識別され得る自然人(データ主体)に関するあらゆる情報を意味する」となります。
ここでいう自然人=データ主体とは、ひとつもしくは複数の要素を参照して、直接的・間接的に識別され得る者とされており、特定される可能性のある情報を持つすべての個人を意味する、といっていいでしょう。
具体的な個人データとしては、以下のようなものが考えられます。
- 氏名・年齢・性別・身長・体重
- 住所・所在地、もしくはそれを示すデータ
- ソーシャルセキュリティなどの識別番号
- メールアドレス・電話番号
- IPアドレス・クッキー
- クレジットカード情報
つまり、すべての個人に関するあらゆる情報が「個人データ」ということになります。
保護対象となる個人データの範囲
GDPRで保護される個人データの対象が、EEA諸国在住の個人を対象とすることは解説しました。この「EEA諸国在住」は、国籍や居住地を問わないのが特徴となっており、一時的にEEA諸国に滞在する外国人も対象となります。
たとえば、出張や旅行などでEEA諸国に滞在する外国人の個人データを自国へ移転する、外国企業の従業員がEEA諸国出向にともないデータを移転する、などのケースも保護対象となるため、企業側も十分な注意が必要です。
日本企業のGDPR認知度は非常に低い
上述のように、日本企業の多くがGDPRの対象となる可能性があり、膨大な制裁金などの罰則が設定されているにもかかわらず、その認知は進んでいないのが現状です。
日本企業の4割がGDPRの存在自体を知らない
下図は、2018年3月〜4月の期間、官公庁自治体や民間企業の998名を対象にトレンドマイクロが実施した調査結果をグラフ化したものであり、GDPRへの認知・理解度を表しています。
驚くことに、情報システムを含む各責任者の4割が「GDPRの存在自体を知らない」という結果となり、「名前しか知らない」を含めれば、65%以上がGDPRを理解していないことになります。
また、「理解している」「ある程度理解している」と回答した約34%の組織でも、GDPR対応済なのは10%にとどまっており、対応中を含めても積極的な対応を行っている組織が3割にも満たない状況であることもわかる。
こうした対応の遅れには、「GDPR施行開始までに対応完了しなくともペナルティがない」とか「自社にどのような影響があるかわからない」といった理由があると推察できます。
GDPR施行と同時に提訴されたケースも
民間企業をはじめとした日本の組織がGDPRに無関心ともいえる状況のなか、施行と同時にGDPR違反で提訴された大企業としてFacebookとGoogleが挙げられます。
両者の提訴理由は「個人情報を使い続けるため、ユーザーへ同意を強制する戦略を行っている」とされた。これ以外の訴訟案件には、ユーザーの位置情報を取得するゲームアプリ「Pokemon Go」なども含まれるという情報もあり、今後も関連した提訴の増加が見込まれる。
こうした状況に対応すべく、日本の組織も当事者としてGDPRに向き合う必要があるといえるだろう。
最低限とるべき4つのGDPR対応
1. データマッピングによる分析
まずは、自社が個人データをどのように取り扱っているのか、データマッピングによる現状分析が必要でです。
GDPRでは、EEA市民・滞在者の個人データ移転・処理・取得が規制対象となります。つまり、データマッピングによって「どこにどのような個人データがあるのか」「個人データがどこからどこに移転しているのか」「個人データをだれがどこから閲覧できるか」を明らかにしなければなりません。
2. プライバシーポリシーの改訂、同意の取得・撤回の仕組み構築
GDPRの目的は、個人の基本的人権確保です。つまり、データを所有する個人(データ主体)に対して、個人データの移転・処理・取得に関する説明責任が組織側に生じます。
具体的には「プライバシーポリシーを明示して、個人データに対する組織の姿勢を明確にし」「データ取り扱いの同意・撤回の方法に関して、明確な仕組みを構築する」必要があります。これらは、GDPRに沿ったポリシーの改訂や策定、仕組み構築の準備など、現状分析の結果にもとづいて行われるべきです。
3. 責任者と報告手順の決定
上述のとおり、GDPRの義務責任に情報漏えいが生じた際の「規制当局への届出」「データ主体への速やかな通知」があります。
この義務責任を果たすには、速やかな情報把握および、規制当局への報告手順確立をしなければならなりません。そのためには、データ管理を行うプライバシー責任者の任命、規制当局への連絡窓口確保、体制整備の推進が重要です。
GDPRでは、一定の要件を満たさない限りデータ保護責任者の任命を義務化していないものの、どのような組織でも、迅速な対応に向けたプライバシー責任者の存在は不可欠といえます。
4. セキュリティへの対応
GDPRに沿った個人データの取り扱いをしていても、セキュリティの不備によって情報漏えいが発生してしまっては本末転倒です。
日本の組織の場合は、個人情報保護法やガイドラインで定められた、安全管理水準に準拠したセキュリティ対策が必要となります。また、個人データの取り扱いにデータセンターやSaaSを利用しているケースでは、それらの管理にも気を配るべきでしょう。
欧州委員会が日本の十分性認定を検討
GDPRでは、EEA域外への個人データ移転が原則禁止とされており、これを可能にするには「本人の明示的な同意を得る」「標準契約条項の締結」などが必要となります。
しかし、例外措置によって、日本に個人データの域外移転が認められる可能性が浮上しました。それが「十分性認定」といわれる要件です。
十分性認定とは
十分性認定とは、欧州委員会が、データ保護の施策がEUと同等の水準にあると評価した国や地域を認定するもので、個人データの域外移転を可能にするものです。2019年1月23日に日本も認定を受けました。
日本の組織はデータ主体の同意によって個人データの利用が可能になり、GDPRへの対応が容易になります。
GDPRは十分性認定だけでは対応できない
日本が十分性認定を受けたとしても、データセンターなどが日本以外の非認定国にある場合などは、依然として個人データの域外移転に障害が生じます。
こうしたケースにも対応できるよう、上述したセキュリティ対策を講じ、状況にあわせた柔軟な対応が重要となるでしょう。
GDPRを逆手に企業のブランディングに
GDPRで懸念される影響については「顧客からの信用失墜」「取引先からの信用失墜」「企業の倒産」などが挙げられ、GDPRを理解している組織ほど、これを回避すべく積極的な対応を進める傾向があります。
しかし、逆の意味で考えれば、GDPRへの積極的な対応は、顧客や取引先からの信用を得ることにもなり、企業の業績向上が期待できるなど、大きなメリットもあるようです。
つまり、組織、特に中小規模の企業にとって簡単ではないGDPRへの対応は、これを好機と捉えてチャンスに変えることもできます。まだまだGDPRへの関心が低い今だからこそ、集中して取り組んでいくべきです。