法制度対応/CSR 法制度対応/CSR記事一覧へ

[河原潤のITストリーム]

施行まであと1年半、EUの新データ保護法「GDPR」への備え:第54回

2017年1月31日(火)河原 潤(IT Leaders編集委員/クラウド&データセンター完全ガイド編集長)

ビジネスを欧米にも展開する企業であれば、2018年5月25日より施行が始まる「EU GDPR」の対応検討はすでに始まっていることと思います。制裁金額が跳ね上がり要件も厳格化する新法に、グローバル企業はどのようなスタンスとアプローチで臨めばよいのでしょうか。先日、IaaS事業者としてGDPR順守をいち早く表明したIIJがプレス向け勉強会を開きましたので、その内容から要点をまとめてみます。

現行法にまつわる諸問題のクリアを目指すGDPR

 EU GDPR(General Data Protection Regulation:一般データ保護規則)は、EU域内在住の個人情報/データの保護を目的とした法律・規則集で、2016年4月14日に欧州議会で可決されました。IIJ Europe LimitedでDirectorを務める小川晋平氏(写真1)は、「現行法(1995年のEUデータ保護指令に基づき制定された加盟各国のデータ保護法)が今日のようなデジタルデータの膨大なやり取りを想定していなかったことや、制裁金が安くてルール違反の抑止効果が小さかったことなどが法改正の背景になっています」と説明しました。

写真1:EU GDPRの説明を行った、IIJ Europe Limited Directorの小川晋平氏

 小川氏によると、法案可決の時点では実際の施行までに何年もかかると見られていたのが、2013年に公となり世界的騒動となったスノーデン事件もあって急加速(注1)、2018年5月25日からのスタートが決まりました。実のところ、施行まであと1年半を切っています。

注1:スノーデン事件の影響の1つとして、欧州/米国間の個人データ移転を取り決めたセーフハーバー(Safe Harbor)協定が2015年10月の通称シュレムス判決で無効になっています。小川氏によると、GDPRの最大ターゲットは米国企業であり、EUはセーフハーバー協定の不備を長らく問題視していたそうです。

 勉強会では、EU GDPR順守に向けた、IIJみずからの取り組みを基に概要とポイントが解説されました。要点は次の5つです。

1. EU GDPRとは、「個人データ=EU域内に在住する個人を特定可能な情報」の処理と移転に関する法律である

2. 個人データの取り扱いについて、データの主体・所有者であるEU在住の個人への説明と同意を得る必要がある

3. EU域内で取得したプライバシーデータを、EEA(European Economical Area:欧州経済圏)外に移転することは原則禁止

4. 対象企業への調査は、EU各国のDPA(Data Protection Authority:データ保護機関)が実施する。調査の結果、違反が判明した場合、「前会計年度世界総売上の4%以下」もしくは「2000万ユーロ(約23億円)」で額の大きいほうの制裁金が科せられる可能性がある

5. データ移転に関しては、企業単位で一定の要件を満たす場合に例外が認められる

 12で言うところの個人データは、氏名や住所といった個人情報そのものだけでなく、複数のデータベースを突き合わせることで個人を特定可能な識別子も含まれます。例えば、自社のWebサイトで、アクセスログとして訪問者のIPアドレスを保管しているケースも該当し、事前に承諾を得ないと違反になります。

 小川氏はここで、データの処理と移転の両方とも対象である点を強調。「ここまでの報道から、データの移転ばかりに注目が集まっていることを懸念しています。23の要件が処理と移転の両方にかかってくるわけで、現状、EUに進出している日本企業のほとんどが違反状態ということになります」と警告しています。

 「EU各国から見て、日本の個人情報保護法は“十分性”が認められていません。特に透明性が不足しており、例えば公的機関を裁く権利が認められていない点などが問題視されています。EUでは警察などもデータ保護違反の制裁を受けています」(小川氏)

 4は、ドイツ国内の10のDPAが合同で行った在独企業500社調査など、すでに準備段階としての調査が始まっています。「個人データの越境問題に関する25項目の質問があり、その中にクラウド利用の質問が含まれています。ここから、DPAがクラウドによる第三国移転を問題視していることがうかがえます」(小川氏)

 ところで、EU各国のDPAが総力を結集したとしても、EUでビジネスを営む膨大な数の企業をくまなく調査することは不可能です。そこで、個人情報を大量に取り扱う業種、“タレこみ”や大規模なインシデントなどで目を付けた企業などを中心に調査をかけることが予想されています。例えば、会社とトラブルを起こしたことのある元従業員や顧客、取引先などに違反をタレ込まれたり、情報漏洩事件を起こしたりした企業に調査が入るわけです。

 全世界売上げの4%以下もしくは2000万ユーロ(約23億円)という違反時の制裁金は、上述のとおり現行法の反省から大幅に引き上げられた結果です(表1)。なお、小川氏によると、ブレグジット(Brexit)の行方が注目される英国はもともとデータ保護法に反対の立場をとっていましたが、多額の制裁金を徴収できる可能性から、EU GDPRには賛同の意を示しているそうです。

表1:EU GDPR違反時の制裁金(出典:IIJ)
この記事の続きをお読みいただくには、
会員登録(無料)が必要です
【次ページ】GDPR準拠の方法――SCCを積み重ねるか、BCRを取得するか
  • 1
  • 2
  • 3
バックナンバー
河原潤のITストリーム一覧へ
関連キーワード

個人情報 / GDPR / EU

関連記事

施行まであと1年半、EUの新データ保護法「GDPR」への備え:第54回ビジネスを欧米にも展開する企業であれば、2018年5月25日より施行が始まる「EU GDPR」の対応検討はすでに始まっていることと思います。制裁金額が跳ね上がり要件も厳格化する新法に、グローバル企業はどのようなスタンスとアプローチで臨めばよいのでしょうか。先日、IaaS事業者としてGDPR順守をいち早く表明したIIJがプレス向け勉強会を開きましたので、その内容から要点をまとめてみます。

PAGE TOP