EUのGDPR(一般データ保護規則)の施行

つい先日の5月25日にEU域内の個人データ保護を規定する法律が施行されました。
「GDPR(General Data Protection Regulation:一般データ保護規則)」と言います。

EUでは、それまでにも「EUデータ保護指令(Data Protection Directive 95)」という法律がありました。これはEUが誕生した時に、加盟国それぞれの個人情報保護法の共通化を求めたものです。

それが日本とどういう関りがあるの?

そう思われると思いますが、EUデータ保護指令には第三国へ個人データを移転する際の規定があり、個人データの保護に関する措置が、EUデータ保護指令の水準に満たない第三国やその国の企業には個人データを移転してはならないというものです。これがEU域外への個人情報保護制度の確立を急がせたと言われており、日本でも1997年に個人情報保護に関するガイドラインが改定され、1998年にプライバシーマーク制度が発足、個人情報保護法の整備が加速されたという、日本に大きな影響となった歴史があります。

この「EUデータ保護指令」に代わり「GDPR」が施行された背景には、改正個人情報保護法と同じ流れがあると思います。それは、技術革新とデータ化の進化が早いということです。個人情報の収集や共有が進む一方となってきている今の時代では、EU全体で個人情報に対する取組み強化を見直す必要があったということです。

GDPRに対する懸念事項

このGDPRに関して、大きな懸念事項があります。それは、GDPRの目的の1つは「制裁と執行の強化」となっており、違反した企業への罰則規定が非常に厳しく設定されていることです。

管理者義務違反など軽度の違反

1,000万ユーロまたは、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方

GDPRのデータ処理の基本原則に違反した場合など重度の違反

2,000万ユーロまたは、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方
(現在の為替レートで軽度なら約13億円、重度なら約26億円)

GDPRに対する反応も世界で出始めています。アメリカのあるメディア企業では、ヨーロッパの人たちが見なければ文句が無いだろうと考え、ヨーロッパの読者をすべてブロックすることに決めました。

これは、何かが違反と見なされることと、それがもたらす予期せざる結果を恐れての行動になります。アメリカの閣僚からも、「調査機関がわれわれに(サイバー攻撃の)脅威が迫っていると警告することを妨げるという意図せぬ影響が及ぶことは望まない」という発言が出ました。他にも「サイバー犯罪者はGDPRを称賛している」という批判の声も出ています。

GDPRへの対策に関しては、PWCの調査報告*1では日本が遅れを取っている結果となっています。リーガル、セキュリティ、テクノロジー、オペレーションなどの各領域に対する横断的な変革が必要となるのが大きな理由となっているようです。また、日本が頼る外部企業はITベンダーが突出しているという、米国や英国と比べ特徴的な結果が表れているようです。

日本は”データライフサイクル管理”や”トレーニング”、”国境を越えたデータ戦略”、”プライバシーのインシデント管理”などの重要な分野での遅れも大きく、77%の日本企業が遅れを取り戻すべく、最低100万ドルの投資計画をしているという。
*1(欧州でビジネスを展開している米国、英国、日本の各企業、約300社のCPOやCIOなど、プライバシーリスクを担当する役職員からの回答を元に公表した見解を引用させて頂きました)

バルクにもすでに数件のご相談の連絡がございます。
海外の法律なので解釈や対応方法は不確かな部分が多くございますので、只今精査中でございます。
お手伝いが出来る内容が決まりましたら、皆様にご案内させて頂きます!