TREND

市場動向

「GDPR」(EU一般データ保護規則)とは何か。企業にどんな影響があるか? – ついに施行されたGDPR、改めて背景と基本を押さえよう –

「GDPR」(EU一般データ保護規則)とは何か。企業にどんな影響があるか? – ついに施行されたGDPR、改めて背景と基本を押さえよう –

【目次】
いよいよGDPRが2018年5月に発効
背景にはITの進化とグローバル化がある
個人データの対象はデジタルにおよび、罰則も厳格化
まずは日本の個人情報保護法の準拠が大事


トレンドマイクロが公表した調査結果によれば、GDPRについて「名前だけは知っている」「知らない」という回答が全体の66.5%を占めるなど、企業における認知はそれほど進んでいないという調査結果も公開されています。そこで今回は「GDPRとは何か」について改めて説明します。

いよいよGDPRが2018年5月に発効

GDPRとは、欧州連合(EU)における個人データの取り扱いを規制する新たな法的枠組みのこと。「Data Protection Directive 95(EUデータ保護指令)」に代わる法的枠組みとして2016年4月に制定、2018年5月25日に施行されました。

EU域内に事業所を構えビジネスを行う企業だけでなく、EU域内に商品やサービスを提供する企業にとっても、顧客等の個人情報の取扱いが厳しく定められており、国内企業においても法対応を進めなければならないケースがあります。

背景にはITの進化とグローバル化がある

GDPRが制定された背景には、急速に進むテクノロジーの進化とグローバル化があります。顧客の属性データや、オンライン・オフラインにおけるさまざまな行動履歴に関するデータ、あるいはIoT(モノのインターネット)により、インターネットを通じてあらゆる「モノ」からデータが収集・蓄積されるようになりました。

こうしたグローバル規模で収集されたビッグデータを、AIを活用して分析し、商品開発やサービス改善、あるいは新たなビジネスモデルの創出などの取り組みにつなげていく企業ニーズが高まっています。

また、ネットワークの進化は国境を越え、事業所を海外に構えなくても、ECなどでグローバルを相手にビジネスを行うことが以前より容易になってきました。

こうした状況に鑑み、EU域内だけでなく、グローバル規模で個人情報を保護していく必要性から制定されたのがGDPRということになります。従前のEUデータ保護指令が、実際の法規定が各加盟国に委ねられた「指令(Directive)」であったのに対し、GDPRは加盟国に共通の「規則(Regulation)」として、より拘束力が強められているのです。

個人データの対象はデジタルにおよび、罰則も厳格化

個人データの対象はデジタルにおよび、罰則も厳格化
新たなデータ保護の枠組みとして制定されたGDPRは、昨年5月に改正された日本の個人情報保護法にもその内容が加味されています。そんなGDPRの特徴には、大きく以下の2点があります。

1つめは、対象となる個人データの範囲が広がっている点。氏名や所在地、メールアドレスやクレジット番号といった情報はもちろんのこと、IPアドレスやCookieといったオンライン上で個人の識別につながるような識別子や、位置情報なども含まれる点が特徴です。

2つめは、適用地域が広範に及んでいる点です。GDPRはEU域内だけでなく、域外国にも適用されます。

日本においてもグローバルに展開する企業は一般的になりつつあります。あるいはSNSなどのように、日本のサービスに海外の利用者が登録するケースや、越境ECなどで海外の顧客に物品やサービスを提供するケースもあるでしょう。

また、たとえば、日本企業の現地法人が社員に関する情報を取得し、日本の本社の人事システムに登録して管理、分析を行うといったケースもGDPRの規制の対象になります。

GDPRに定める個人データの処理に関する原則を遵守しなかった場合や同意に関する条件を遵守しなかった場合などには、ペナルティとして「当該組織の全世界での年間売上高の4%」または「2,000万ユーロ」のいずれか高い方が制裁金として課されます。

また、個人データの取り扱いに関し、技術的、組織的に適切な安全管理対策を実施しなかった場合などには、「当該組織の全世界での年間売上高の2%」または「1,000万ユーロ」のいずれか高い方が制裁金として課されます。

まずは日本の個人情報保護法の準拠が大事

EU域外にある日本企業のGDPRへの対応としては、まずは「日本の個人情報保護法を守る」ことが重要です。2017年に改正された日本の個人情報保護法に、GDPRの内容が加味されていることは述べましたが、まずは、日本の個人情報保護法が定める個人情報保護体制を確立することがGDPR準拠の第一歩となります。

その上で、企業はGDPR対応を進めるために、どんな個人データの取り扱いがあるかを可視化し、整理することが大事です。そして、組織の整備や業務プロセスの把握、対象データの確認、システム(セキュリティ対策)、グローバル拠点での対応などを包括的に進めていく必要があります。

とくに、グローバルにビジネスを展開する企業は、現地と日本本社との間で課題認識を共有し、GDPRをはじめとする各国の個人情報保護規制への対応を進めていくことが求められるのです。