Yahoo!ニュース

GDPR(EU一般データ保護規則)施行開始。日本企業も東京オリンピック、インバウンド需要に注意必要

大元隆志CISOアドバイザー

2018年5月25日、いよいよGDPR(EU一般データ保護規則)が、施行開始となる。これは欧州連合(EU)における、新しい個人情報保護法で有る。「なんだ、EUの話か」と他人事と捉えていると、巨額の制裁金を課せられるリスクが有る。

■GDPR (General Data Protection Regulation)とは?

 Facebookの個人情報の不正利用問題は皆さんも記憶に新しいことだろう。個人情報は扱い用によっては「換金」することも容易で有るため、消費者の利便性を損なわないデータ管理の方法は、ビッグデータ時代と言われる現代において非常に重要なテーマとなっている。

「データプライバシー」に関する問題は古くから議論されており、その歴史は1970年にまで遡る。1970年ドイツのヘッセン州にて世界初となるデータ保護法が制定された。欧州地域の国々がドイツに追随し、1995年に欧州共同体(EC)が、EUデータ保護指令が制定された。しかし、このEUデータ保護指令ではEC加盟国の間で微妙な差異が有り、各国間の足並みが揃っておらず、不完全な物であった。そのため、2016年4月にEU地域のデータ保護法を標準化するGDPR(EU一般データ保護規則)が採択された。GDPRはEU内の全ての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しており、2018年5月25日から、施行される。

 GDPRの前進で有る、EUデータ保護指令は"指令(Directive)"で有ったのに対し、GDPRは"規則(Regulation)"で有るため、EU加盟国共通の法規則として適用される点が大きく異なる。

■GDPRについて抑えておくべきポイント

 ・対処となるデータ

  GDPRにおける個人データとは「識別された、または識別され得る自然人に関するすべての情報」と定義されている。具体的には、氏名やパスポート等の識別番号、技術的な情報(位置情報、IPアドレス、クッキー等)、その他身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因といった物が該当する。

 

 ・適用対象

  EU加盟国等、欧州経済領域(EEA)域内に存在する個人に関する個人データ(GDPR第2条)。国籍や居住地を問わず、EEA域内に短期滞在する出張者や旅行者の情報も対象となる。そして、これらEU居住者に商品やサービスを提供、もしくはモニタリングする企業は、EU内に本社/支社の有無を問わずGDPRの対象となる。

  ※但し、明らかに日本人向けのHPやECサイトに対して、EU居住者が訪問し、メールアドレスを登録したような場合には、対象外となる可能性が高い。

 ・個人情報の取扱

  - 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。

  - 個人データの収集及び利用目的について、有効な同意が明示的に行われなければならない

  - 個人データの処理及び保管に当たり、適切な安全管理措置を講じなければならない

  - 個人データの情報漏えいが発生した場合、その旨を監督機関に対し"72時間以内"に通知しなければならない。

    また、データ主体にも遅滞なく通知しなければならない。

 ・個人情報の移転

  - EEA(欧州経済領域)域内から、域外(第三国)への個人データ移転は原則禁止

■GDPRの罰則

 GDPRが世界中で関心を集めている大きな理由が、巨額の制裁金だ。GDPRに違反した企業は、最大で全世界売上高の4%、あるいは2000万ユーロ(1ユーロ125円換算で25億円)のどちらか高い方が制裁金として課せられる。

■日本企業への影響

 GDPRはEUに本社/支社が無く、日本にしか展開していない企業で有っても、日本にホームページを開設しており、そこにEU居住者が訪問した場合等も対象と成り得る。※但し、明らかに日本人向けのサイトで有り、多言語化もされていないような、誰の目に見てもEU居住者を対象としていないサイトに、たまたまEU居住者が訪れた場合等は"GDPR対象外と成る可能性が高い"。

 2020年の東京オリンピックや、インバウンド需要の取り込みで"EU居住者を対象"とした、PRやマーケティング活動を検討している企業は特に注意しなければならない。

■GDPR対応の簡易チェック

EU地域で活発にビジネスを展開している企業で有ればGDPR対策には取り組んでいることだろう。しかし、GDPRの影響が測りきれない企業で有れば、GDPRの対応は進んでいないというのが実態だろう。比較的簡単に行えるチェック方法を記載する。

 1) 自社のGDPR対応状況をチェックする

 2) 自社で保有している個人情報の保管場所を整理する

 3) 自社保有データの中に、EU居住者のデータ有無を確認する

 4) 不要な個人データが有れば削除する

 5) 個人情報管理について適切な技術対策が講じられているか検討する

 6) 自社で利用しているITサービス等がGDPR対応しているか確認する

 7) 法務部門や経営層と共に、自社の対応ルールを検討する

GDPRへの対応にあたり、日本貿易振興機構(ジェトロ)発行の「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」が参考になるので、法務担当者やマーケティング担当者は一度目を通して見ることを推奨する。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事