GDPRとは？EU圏でのビジネスで注意すべき規則

ここでは個人情報保護のための枠組みであるGDPRについて紹介します。

これは日本ではなくEUの規則ですが、今や国境を越えてのビジネスはごく当たり前に行われていますから、日本人が日本国内でビジネスを行う場合であっても無視はできません。

GDPRとは「General Data Protection Regulation」の頭文字を取ったもので、訳すと一般データ保護規則となります。

別に規則の名称にはEUという文言は入っていませんが、これはEUつまり欧州連合の規則であり、EU域内の各国において法律となります。

目的としてはEUの人々の個人情報を守ることにあります。日本でも同様の法律はありますが、個人情報の保護が重要であるのはもはや言うまでもありません。それが不正な方法で取得されたり、うっかりして流出してしまったり悪用されたりすることで人々が受ける不利益は大きなものがあるからです。

個人情報そのものは紙ベースのアナログの時代から例えば名簿などの形で存在していますが、インターネットやIT技術の発達により大量の個人情報が簡単に体系的に扱えるようになり、例えば悪意ある持ち出しもパソコンのボタン操作一つでできてしまうとか、ポケットにも入る程度の小型のメモリでできるということもありますし、流出時の影響も大きなものになっているということがこの規則の背景にあります。

実際、1995年の時点でEUデータ保護指令という指令が作られていましたが、それに代わるより厳格な規則として2018年より施行されることになったのがGDPRです。

GDPRはEUの規則ですが、日本に影響がないわけではありません。これはEU域内の人々を守るための規則ですから、日本国内の企業であっても、顧客としてEUの人がいれば対象になります。

完全に日本人だけを顧客としているような企業であれば無関係ということもあるかもしれませんが、例えばインターネット上のウェブサイトを展開しており、英語のサイトも開設していればEUの人が訪れることもあるでしょう。

そのような人から個人情報として例えば氏名や住所、電話番号、クレジットカード番号などを取得する場合は間違いなくGDPRの対象となります。もちろん、EU域内に子会社があるとか、支店を開設している日本企業の場合も当てはまることになります。

さらには、これはEUの人々から直接個人情報を入手する企業にだけ当てはまるわけではなく、委託を受けてそのような個人情報を保持したりするデータセンターのような企業も該当しますから、より注意する必要があります。

GDPRでおさえるべきポイントですが、要するに本人にとって不利益が生じるようなことがないよう、個人情報を扱う企業にはそれ相応の努力が求められるということになります。例えば、個人情報の取得にあたっては、何のために取得するのかその目的を示した上で本人から同意を得なければなりません。

この同意はいつでも理由なしに撤回することができ、撤回された場合は既に取得した個人情報は削除する必要があります。そして、取得した個人情報は同意を得た目的以外に利用してはなりませんし、流出などが生じることのないよう適切に管理する必要があります。

また、目的に照らして必要な期間を超えて保持し続けてもいけません。万が一流出が発生してしまった場合は監督機関及び本人に通知しなければならないとも定めています。

そして、もしこの規則に違反があった場合は、企業は全世界売上高の4％か2000万ユーロのどちらか高い方の制裁金が課せられることになっています。

GDPRへの対応ですが、まずは自社がこの規則の対象となるのかどうかを確かめることが先決です。EUの人々から個人情報を取得する機会があるのかどうかということです。もし多少なりとも機会があるということであれば、規則を遵守しなければ莫大な制裁金を課される可能性があります。

これは大企業はもちろんでしょうが、ベンチャーのような企業であっても無視はできません。何しろ制裁金は売上高の4％か2000万ユーロの高い方ですから、1ユーロ120円としても少なくとも24億円になるからです。

担当者のみでの対応では難しいこともあるでしょうから、例えば経営層とか、この分野に詳しい法律の専門家、IT技術者などを巻き込みながら対応を検討していく必要もあるでしょう。

さらには、自社としてしっかり遵守していたとしても、取得した個人情報の保管や処理などを別の会社に委託しているような場合は、委託先がこの規則を遵守しているかについても確認が必要です。

最近ではストレージを自社管理とせずにクラウドストレージサービスを利用していることも多いでしょうが、ここに個人情報を保管する場合は注意が必要です。つまり、そのサービス提供会社がGDPRを遵守していないと、自社としてもGDRPを遵守していないと見なされる可能性があるからです。

流出などの問題が起こってしまった場合、自社が管理すべき個人情報である以上、ストレージサービス提供会社が悪く自社は悪くないという言い訳は通用しないかもしれません。

ですから、GDPR適用対象の個人情報を保管しようとする場合は、クラウドストレージサービス提供会社についてもGDPRを遵守している企業を選ぶことが安心です。

グローバルにビジネスを展開しているサービス会社、そのような会社をメインの顧客としているようなサービス会社であればGDPRを全く知らないようなことはまずないでしょうが、GDPR施行は2018年と比較的最近ですから、対応が完了していないということはあるかもしれません。

GDPRとはEUにおける規則で、個人情報を保護するための枠組みです。日本企業が日本国内で事業を展開する場合であっても顧客にEUの人が含まれ、その人から個人情報を取得する場合は対象になります。

実施すべきことは個人情報の取得には目的を明示した上で本人の同意を得ることや、目的外の利用をしないこと、流出などが起こらないように適切に管理することなどであり、万が一規則違反を起こした場合には多額の制裁金が課せられる可能性があります。

自社のみならずデータセンターやクラウドサービスなどの委託先や取引先についても、自社の個人情報を扱う場合には同様にGDPRを遵守する体制が整っているかどうかを確認しておく必要があるでしょう。