GDPR(General Data Protection Regulation)

 

GDPRは、2018年5月25日、欧州連合（EU）において新しく開始された個人情報保護法です。正式名称は、General Data Protection Regulation（一般データ保護規則）とし、EU内の個人データの保護機能を強化及び統合のため制定されました。

 

2016年4月14日、全世界が注目している個人情報保護規程（GDPR、General Data Protection Regulation）が、欧州議会で制定されました。いくらグローバル化がトレンドだとしても、様々なマスコミから地球の反対側にあるヨーロッパの個人情報保護規程がについてのニュースが輻輳する理由は何でしょうか。この規程は、果たして私たちにどのような影響を及ぼすのでしょうか？

 

GDPRは、EUを対象とするビジネスを行っているところならどこにでも適用される規程です。勿論、ヨーロッパで事業をすることだけではなく、ヨーロッパ市民の採用などで、彼らの個人情報を使用しようとする企業や機関にも適用する規程です。この規程を違反する場合、世界の年間売上高の4％、そして2,000万ユーロ（約26億円）のうち、より高い方を課徴金として賦課します。一年後、 GDPR が有効になるとより個人情報の管理に気を使うのが良いでしょう。ですが、ベリタステクノロジー(Veritas Technologies)の「GDPRレポート2017」によると、日本の72％の企業がGDPRへの対応に不安を抱いているそうです。

 

GDPRと日本の個人情報保護法の違いは何でしょうか。 

現在の日本の個人情報保護法は、GDPRと同等の法制度として機能するには困難なところがあります。以下は個人情報保護法に2つ足りないものです。

 

• 対象情報の定義が狭すぎる

個人情報保護法では、初めから氏名が含まれていないデータは個人情報ではないと解釈されていますが、GDPRでは例え無記名だとしても、ある個人の履歴データなら、それも個人情報だとみています。

 

• プロファイリングの規制に対応していない

個人情報保護法では、情報漏えい対策ばかり注目されていますが、GDPRでは自動処理による判断が重要になります。例えば、企業が人材の採用において、同意もなく人工知能で人物評価を行い、採用までを自動化した場合、GDPRを違反することになります。人が判断することが必要であり、機械に判断させてはいけないと判断しているのでしょう。

 

このように日本の個人情報保護法は十分性を獲得できていない状況です。そして、この点から生じた問題が、個人情報の域外移転のことです。十分性認定をもらうのに失敗した日本の場合、個人情報をEU域外に移転するには一定の手続きが必要です。日本の企業の大半はSDPCでの利用する予定だそうですが、BCRを検討している企業も増えているそうです。以下はその2つについての説明です。

 

• 拘束的企業準則 (BCR: Binding Corporate Rules）

グループ内で統一された情報管理を実施している場合に選択できます。 その情報管理の方法を文書化し、監督機関に申請して承認を得ます。これによりグループ 企業を包括した個人データ移転が認められます。 監督機関に提出する文書には、SDPC(次項参照）と比べて情報管理に関する詳細な記載 が求められ、外部専門家の助力が必要になる場合が多いといえます。

 

• 標準契約 (SDPC: Standard Data Protection Clause)

所定の契約フォーマットを使用して、監督機関への届出・申請・承認取得等を行います。個別契約を取交わした企業間のみに適用され、その種類は管理者間の契約である①セッ トⅠ及び②セットⅡのほか、管理者と処理者の間の契約である③CtoPの3種類のフォー マットがあります。

 

この手続きを早く踏むのも良いですが、契約を正しく履行できる環境を作ることも、忘れては困難なことになるでしょう。

 

ところで、EUはどうしてGDPRのような厳しいルールを制定した理由は何でしょうか？国境を越えて多くの物品だけでなく、個人情報も簡単に移動されている現在、 EUの各国政府は国政府は自国民の個人情報や産業を保護するため、個人情報規制を強化したのです。実は、EUは1995年からすでに、イーメールやEコマースなど、個人情報の処理環境の急変に備えて、「EUデータ保護指令」を制定したのです。しかし、現時点で1995年に作ったルールだけでは個人情報を管理及び保護をするのに限界があると認識して、さらにルールをアップグレードしたのがGDPRなのです。

 

出典

 

• 日本企業の63％「GDPR施行に間に合わない」ベリタス世界調査-ASCII.jp x TECH

         http://ascii.jp/elem/000/001/476/1476722/

 

• 個人情報保護法とGDPRの違いとは――EUに事業を展開する企業が知っておくべきこと-ITmediaエグゼクティブセミナーリポート

          http://mag.executive.itmedia.co.jp/executive/articles/1704/18/news035.html

 

• EUデータ保護規則、日本企業はどう対応すべきか‐ITpro

          http://itpro.nikkeibp.co.jp/atcl/column/16/112400268/112600002/

 

• 個人データの越境移転とデータベースを考える-情報セキュリティ大学院大学

          http://www.db-security.org/seminar/data_2017/dbsc0213_2.pdf

 

•  第1回 EUで始まる新しい一般データ保護規則「GDPR」とは？

          https://www.iij.ad.jp/global/column/column44-1.html