法制度対応/CSR 法制度対応/CSR記事一覧へ

[知っておいて損はない気になるキーワード解説]

「GDPR」って本当に大変なことなの?

2018年7月16日(月)清水 響子

マイクロサービス、RPA、デジタルツイン、AMP……。数え切れないほどの新しい思想やアーキテクチャ、技術等々に関するIT用語が、生まれては消え、またときに息を吹き返しています。メディア露出が増えれば何となくわかっているような気になって、でも実はモヤッとしていて、美味しそうな圏外なようなキーワードたちの数々を「それってウチに影響あるんだっけ?」という視点で分解してみたいと思います。今回取り上げるのは、2018年5月25日よりEU(欧州連合)で施行された「GDPR:General Data Protection Regulation(一般データ保護規則)」です。

【用語】GDPR

 去る2018年5月25日、ついに施行された欧州一般データ保護規則、GDPR(General Data Protection Regulation)。違反企業に対する世界売上高の4%ないし2000万ユーロ(約24億円)という巨額な制裁金で注目され、Veritasの調査によると対象となる世界900社の対策費用は平均1400万米ドル(約15億7600万円)ともいいます。 対策が遅れ気味といわれる日本企業も、特にEU域外へのデータ移転に関連する対策が慌ただしくなってきたようです。

 GDPRは、Data Protection by Design and by Default原則に基づく個人の権利保護、EUデジタル市場の保護・育成のための規制強化とともに個人データの越境移転のルールを統一しました。保護対象はEU加盟28カ国及びアイスランド、ノルウェー、リヒテンシュタインの3カ国を含む欧州経済領域(European Economic Area : EEA)に所在する全ての個人データ。域外への持ち出しに関する厳格な規制が敷かれ、在EEA法人にとどまらず世界の全ての法人に準拠義務があります。

 各国のデータ保護監督機関(Supervisory Authority)のほか、「データ主体(Data Subject)」「データ管理者(Controller)」「データ保護責任者(Data Protection Officer : DPO)」「データ処理者(Processor)」といったステークホルダーも明確に定義されました。

図1:GDPRが定義するステークホルダーの関係:欧州データ保護委員会が設置する各国監督機関のもとで適切な個人情報の収集・処理を行う。扱うデータの量や内容によっては独立したDPOを設置する必要がある
拡大画像表示

【イノベーション】デジタル市場経済に対応

 GDPRは2010年来EUが進めてきた欧州単一デジタル市場(Digital Single Market : DSM)戦略の礎といえます。DSM戦略が目指す公正でバランスの取れたデータ経済市場の成長とそのメリットを、ビジネスと個人ユーザーが自覚と同意のうえで享受できるための条件を定めています。

 内容は1995年制定のECデータ保護指令(Directive 95/46/EC)をGAFAが席巻する21世紀のIT社会に合わせてアップデートしており、昨2017年の日本における個人情報保護法改正や個人データに関するロシア連邦法改正(2015年)、中国サイバーセキュリティ法(2017年)、フィリピンデータプライバシー法(2012年)といった、個人データの国外移転を規制し、域内管理を目指す各国のルール整備と同様の動きです。GDPRに比べると緩やかながら、先日は米カリフォルニア州でも消費者プライバシー法が成立しました。

EU全体の統一ルール

 日本語だと「規則(Regulation)」と「指令(Directive)」の違いがピンときませんが、EU法では明確な定義があり、Regulationは国内法に優先して加盟国の政府や企業、個人へ直接適用される、最上位の法令です。Directiveとして制定されたECデータ保護指令は、加盟国政府に対する法的拘束力と政策目標達成のための措置の要求にとどまり、国内法や措置内容は各国の判断に委ねられるため、域内でも国ごとに異なる法律への対応が必要で、あらゆる海外法人の拠点が加盟28カ国ごとに個別対応の負担を迫られてきました。

 GDPRのもとでは加盟国間で見解の違いなどが生じたとしても、欧州データ保護委員会(European Data Protection Board)の判断がより強い拘束力を持つため、”one-stop-shop”で済むようになります。つまり保護対象が厳格化された一方、対応手段は緩和されたともいえます。EUはGDPRによる対応法人の利益総額を1年あたり23億ユーロ(約3,000億円)と見積もっています。

図2:ECデータ保護指令からの主な変更点
拡大画像表示

基本的人権としての個人データ

 個人データは基本的人権と位置づけられ、データ主体である個人(natural person)の法人によるデータ収集や処理に対する主体的な選択権を定義しています。個人データの処理を行うには、法人の義務すなわち個人データを扱うシステムや管理体制等に必要なプライバシー保護要件を満たして監督機関の承認を受け、さらに個人一人ひとりにデータ処理の適法性(サービス提供に必要なデータだけを取得するなど)を説明したうえ、あらかじめ同意を得る必要があります。

図3:GDPRの概要:個人の権利と法人の義務を厳格に定義。個人データを取り扱う法人には、処理の適法性と域外移転の適法性に関する説明責任が課せられた
拡大画像表示

 個人情報はECデータ保護法令に比べより明確・厳格に定義され、クッキーやIPアドレス、位置情報などが対象に含まれました。匿名化されたデータは対象外ですが、可逆性のある仮名化データや暗号化データは「個人情報」です。

図4:個人情報の定義:個人を特定しうる情報はIoTを通じて収集したデータも対象。政治発言など公益に関わる情報は含まれない
拡大画像表示

 個人データ主体には第15条「アクセス権利(Right of access by the data subject)」、第16条「訂正権利(Right to rectification)」、第17条「忘れられる権利(Right to erasure、right to be forgotten)」、第18条「処理制限の権利(Right to restriction of processing)」、第20条「データポータビリティ権利(Right to data portability)」、第21条「異議申し立ての権利(Right to object)」の権利が保証されています。

 また第22条「プロファイリングを含む自動化された意思決定」は、AIなどの自動的なプロファイリングだけに基づく個人に対する判断を拒絶する権利を定めており、例えば人事評価や採用などにおいて、判断者側には人間が介在することを求めています。データに処理を行った結果、またデータ取扱違反が発生した場合には、その情報提供を受けることも個人の権利です。また、16歳以下の子供は特に強くその権利を保護され、個人情報提供には親権者の同意が求められます。

 「法人」の義務はどうでしょうか。Data Protection by Design and by Default原則のもと、適法、公正、かつ透明性のある手段で処理(Processing)することが義務化されています。サービス提供などの目的に合致しないデータ処理は禁止です。「処理」には個人データまたはデータベースに対して行われる取得、記録、編集、構造化、保存、変更、復旧、参照、利用、移転による開示、周知または周知可能にする行為、整列または結合、制限、消去、破壊といったあらゆる作業が含まれ、その適法性を証明するための処理の記録も必要です。例えば営業が対面で取得した取引先の名刺をExcelや名刺管理ソフトに取り込みメールを送ったりマーケティング部門に引き渡してCRMデータベースとして統合したり、顧客の求めに応じてデータを消去、といった行為の全てが処理に該当します。

データ「移転」のハードル

 データ処理をEEA域外で行うケースが「移転」。原則は禁止ですが、国レベル、法人レベルの条件を満たすことにより可能になります(ただしデータ移転先が「十分な水準の個人情報保護が保証された国」という条件は95/46/ECですでに規定されており、GDPRで新たに生じた移転条件ではありません)。

 前者は移転先の国がEUにより十分なデータ保護対策を行っているという認定を受けていること(十分性認定)で、現時点の認定国はアルゼンチン、ニュージーランド、カナダ、イスラエルなど11カ国です。日本は現時点で十分性認定国ではありませんが、欧州委員会と日本の個人情報保護委員会は2018年秋をめどに十分性の相互認定を実現するよう調整を重ねており、国レベルでは日EU間の越境データ移転の条件が満たされる見込みです。

 国レベルの移転条件が満たされても、法人レベルでの対策を免れるわけではありません。データ移転の適法性を証明できるよう個人情報保護方針やデータ処理の業務プロセス、問い合わせ窓口などを整備する必要があります。外注先との契約見直しが伴う場合もあるでしょう。さらにデータの取扱規模によってはDPOを設置し、対象である個人一人ひとりから法人または拠点単位で上記権利保護に関する事前同意を得て、初めて「移転」が可能になります。

バックナンバー
知っておいて損はない気になるキーワード解説一覧へ
関連キーワード

GDPR / コンプライアンス / 個人情報保護法 / GAFA / B2C / 欧州

関連記事

トピックス

[Sponsored]

「GDPR」って本当に大変なことなの?マイクロサービス、RPA、デジタルツイン、AMP……。数え切れないほどの新しい思想やアーキテクチャ、技術等々に関するIT用語が、生まれては消え、またときに息を吹き返しています。メディア露出が増えれば何となくわかっているような気になって、でも実はモヤッとしていて、美味しそうな圏外なようなキーワードたちの数々を「それってウチに影響あるんだっけ?」という視点で分解してみたいと思います。今回取り上げるのは、2018年5月25日よりEU(欧州連合)で施行された「GDPR:General Data Protection Regulation(一般データ保護規則)」です。

PAGE TOP