今からでも遅くないGDPR対応 - 最小限押さえておきたい基礎知識

今からでも遅くないGDPR対応 - 最小限押さえておきたい基礎知識

  • マイナビニュース
  • 更新日:2018/04/17
No image

●まずは欧州の顧客等の個人データに関する調査を

○EUがプライバシー保護の規則をさらに厳格化した理由

欧州連合(EU)在住者のプライバシー保護に関する新たな規則「一般データ保護規則(General Data Protection Regulation:GDPR)が 、2018年5月にいよいよ施行される。GDPRは個人データの処理と移転に関するルールを定めた規則であり、1995年に適用されたEUデータ保護指令に代わり、EU加盟諸国に対して直接効力が発生する法規制となる。GDPRでは、EUデータ保護指令で求められていた個人データ保護の内容に加えて次のような要件が定められている。

「データ保護オフィサー」の設置とデータ保護影響評価の実勢体制の整備

欧州経済域(EEA)内在住者の個人データが漏えいした際に監督当局に対し72時間以内の報告義務

個人データの取り扱いに関する一定の記録の作成と保管

EEA在住者の個人データのEU域外への国際移転の引き続いての原則禁止

本人の同意取得と証跡の保存に関する要件の厳格化

そもそもこのような規則が制定されたのはどのような背景からなのか。今回、KPMG コンサルティング サイバーセキュリティアドバイザリーグループ/ディレクターの大洞健治郎氏は、以下のような見解を示す。

「EUデータ保護指令で個人情報保護の方針は示されていましたが、EU加盟国の間で保護のレベルに差異がありました。このままでは、これから個人情報の国境を越えた活用が進む中で不都合が生じるおそれがあるため、保護レベルが統一されたDigital Single Marketを実現することが、GDPR制定の目的となりました。一方で、ITによる新たな個人データの取り扱いが進む中で、個人のプライバシーを保護していくこともGDPRの目的となっています。ただし、データ保護オフィサーの設置基準など、一部の条件は各国の裁量で決めることのできる余地も残されています」

GDPRに対応するために必要となる要件は、前述のように法令で定められているので、どこの企業でもほぼ共通したものとなるが、実際に規制対応を進めていくには、各社の事情に応じた内部統制の構築が必要になってくる。「そこが難しいところです」と大洞氏は指摘する。

「要件の1つに、72時間以内に当局に報告しなければならないとありますが、社内のルールとして報告義務を定めることは簡単であっても、実際に72時間以内に報告できるのかとなると難しいはずです。例えば、社員が業務用のスマートフォンを紛失したら、そこに個人情報が入っていたかもしれませんし、カバンをなくしても同じようなことが言えるでしょう。こうした日常的に起こりうるセキュリティインシデントの中で、どういうケースが当局への報告対象となり、どういうものであれば当局への報告義務に当たらないのか。現場の判断にゆだねるのみでは難しく、本来なら報告すべきなのに報告できなかった"というリスクも生じます」

さらに、報告しなければならない項目を決めたとしても、どうやって情報を収集しておくかも決まっていなければ、報告書を作成する時間が確保できないおそれがある。

「法令を遵守した報告を可能にするには、当局通知要否の判断基準や報告・連絡のルートなどのルールを決めて、従業員に周知・徹底する必要があるでしょうし、報告に必要となる情報収集の方法や日頃の管理方法も決めておかないといけません。このように、業務ルールまでを含めて考えないといけないので、GDPR対応には手間がかかるのです」(大洞氏)

○まずは最低限必要なところをカバーする

現実的なGDPR対応に求められる厳しい内容を聞くと、圧倒される担当者も多いと思われる。だが、大洞氏は「本当に最低限実施しなければならない事項となると、比較的シンプルに整理できるので、必要以上に構える必要はないでしょう」と助言する。

日本の個人情報保護法を守るのと同様に、GDPR対応においても基本的にやるべきことは、守るべきルールを決め、それを周知し、そして実際に守ることとなる。ただしそのためにはまず、欧州の顧客等の個人データをグループ内の誰がどこでどのように扱っているかについて、改めて調査をする必要がある。

調査が必要となる最大の理由は、どこでどのような目的で個人情報を取り扱っており、どこに委託しているのかなど、GDPRには情報の処理に関する記録義務があるためだ。この義務を果たすために、グループ全体で情報の処理や記録に関する調査が必須となるのだ。また、域外移転については、EUの定めた標準契約の締結等による保護も必要となる。

また、確実にGDPRを遵守するとなれば、すべての従業員にすべての法律を理解してもらい、そのとおりに行動してもらわなければならなくなるが、従業員に依存する方法は現実的とは言えない。そこで大洞氏が推奨するのが、「SOP(Standard Operating Procedure:標準作業手続き)」を定めておくことである。事前に業務の手順や使用する文書様式などを細かく定めておき、その手順に従っている限りは法令違反のおそれがないようにしておくのだ。

「標準的な業務の手順書や様式を整えておいて日頃の業務を回す。これが、より実践的で踏み込んだGDPR対応と言えます。例えば、個人データの利用取得に同意してもらう場合も、法令上は、事前にこういう情報を伝えておかなければならないと定められていますが、現場の一人ひとりがそれらをすべて理解したうえで対応するというのは難しいでしょう。そこで、会社として提示すべき書類の雛形を用意しておき、原則としてそれを使用するようルールを決めておくのです」と大洞氏は言う。

5月25日というGDPRの施行時期を考えれば本来であればすべての企業がここまでできているべきではあるが、そうではない企業も多いはずだ。そうした企業に向けて大洞氏は次のようにアドバイスする。

「少なくとも5月25日の施行までにルールだけは決めて周知を行い、現場への研修・教育はその後に行うとか、それでも間に合わないようなら、こういう方針でルールを決めて教育をするという方針・計画は決まっている状態にしておくなど、現状の会社のリソースで可能な範囲で前に進めておくことが大事です」

●どうせやるなら競争優位をもたらすチャンスととらえ対応を

○巨額の罰則金が大きな影響 - 質問上の回答次第で罰則の可能性も

日本国内においてもGDPRがこれだけ話題となる理由の1つとして、大洞氏は「罰則金が大きいこと」を挙げる。

「違反した場合、最大2000万ユーロまたは売上高の4%が罰則金として科せられますので相当なインパクトがあります。そして注意すべきは、制裁を行うのが拠点のある国の当局もしくは主たる監督当局となる点です。例えば、同じドイツであっても州ごとに当局があり、それぞれの考え方には温度差があります。日本の感覚で言うと、罰則金を科されるケースというのはよほど大きな情報漏洩事故が置きたり、消費者から通報があったりした場合のみといったイメージかもしれません。しかし、欧州では当局のスタンスにより、当局から主要企業へ質問状が送付されるケースもあり、その回答内容によって当局側が点検を行い、その結果として罰則金を科せられる可能性もあります」(大洞氏)

○日本政府が急ぐ「十分性認定」の取得

このように対応面でも罰則においても厳しい内容のGDPRだが、日本政府は2018年早期の「十分性認定」のEUからの取得を目指している。個人データ保護レベルについての「十分性認定」が国家間に存在すれば、相互の個人データの自由な流通は保障されることになるため、企業の負担も軽減される。

個人情報保護委員会が示したガイドライン策定の方針文書では、十分性認定を受けるための5項目が記されているが、この内容に日本の法令とGDPRの各種定義の差が多く記載されているという。その一例がセンシティブ情報に関する定義だ。例えば労働組合に関する情報は欧州ではセンシティブ情報に含まれるが日本では明確には含まれていない。

「日本企業が十分性認定を受けるには、欧州の定義に合わせた個人データの管理が求められると予想されます。また、国内の多くの企業が十分性認定の取得を望んでいますが、気を付けなければいけないのは、自由になるのはあくまでデータの移転に関してのみということです。先述したようなデータの処理に関する記録義務やデータ保護オフィサーの設置などは、依然として守る義務があります。十分性認定が得られたからといって、自由に個人データを扱えるというわけではないのです」と大洞氏は注意を促す。

○GDPR規制を企業の強みにするために

とかく法規制への対応と言うと「やらねばならないので仕方なくやる」といったスタンスになりがちだが、GDPR対応はむしろ自社に競争優位をもたらすチャンスでもあるという。

「今後のビジネスを行っていくうえで必要になってくるであろう"個人の権利の保護の仕組み"を要求しているのがGDPRです。この規則の大前提としてあるのが、これからの世の中では個人データの取り扱い方が今までとは大きく変わってくるという展望です」と大洞氏は言う。

例えば、ポイントカードを作ったら会員IDつまりその人の識別子ができて、購入履歴やWebの閲覧履歴さらには生体センサーからのデータなど様々な情報と紐づいて結合されていく。つまり、個人データが紐付けの連鎖によりビッグデータとなっていくわけだ。このビッグデータをAIで分析したり、分析専門の企業がプロファイリングしたりするようになってきた時、個人のプライバシーをどう守ればいいのか──将来生じる問題をそこまで見通して、いわば先手を打った規則がGDPRと言えるのである。

「そのため、今のうちにしっかりと対応する仕組みをつくっておけば、これから先、個人データを保護するだけではなく、個人データをビジネスに活かしていくステップに入った時に、規制対応が足を引っ張って競争力を阻害するような事態にはなりません。今、まさに世界各国で個人データ保護に関する規則が変わりつつありますが、欧州がその最先端を走っていることを思えば、GDPRにしっかり対応することのメリットが自ずと見えてくるはずです」と大洞氏は強調する。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

コラム総合カテゴリの人気記事

グノシーで話題の記事を読もう!
「とんでもねえ物を100均で見つけてしまった」... 100均ヘアコームが話題沸騰
マリウス葉、キャンパスで履くスウェットの「お値段」に周囲の学生ら驚愕
なぜ有名ブランドは「日本のユニクロ」とコラボしたがるのか?
"入社4日目"で退社した新社会人の言い分
「声が小さい」「滑舌が悪い」本当の理由は「舌力」だった
  • このエントリーをはてなブックマークに追加