1.個人データ保護のための規定を、より厳格化したGDPR

EUでは2018年5月、個人情報の保護を目的としてGDPR（EU一般データ保護規則）という法令を施行しています。1995年から適用されてきた「データ保護指令」に代わるもので、個人データ保護に関する規定がさらに厳格化されています。

具体的に定められたのは個人データの処理・移転に関する原則、本人が自身の個人データに関して有する権利、データ管理者や処理者が負う義務などです。これによって個人データの削除を本人が管理者に対して要求できることや、監視・暗号化といったセキュリティ要件、さらに違反時には罰則が強化されることが明確化されました。

対象となる個人情報は、多岐にわたります。氏名や住所はもちろん、個人の健康や所得に関する情報、さらには位置情報や個人を特定できるIPアドレスやCookieなどのオンライン識別子なども含まれます。これらを収集し、利用する場合には、GDPRで規定されたルールを守らなければなりません。

2.米大手インターネット企業の対応不備に約62億円相当の制裁金が課された

個人データ保護のためにもGDPRの規定は遵守されるべきですが、これに違反した場合、重い罰則が適用されます。行政罰としては高額な制裁金となり、最大2,000万ユーロ（約25億5千万円）または全世界年間売上高の4%が科されます。個人情報は、それほどに慎重かつ厳重に取り扱うべきものと認識をするべきでしょう。

実際にフランスでは、アメリカの大手インターネット企業が不備を指摘されました。ターゲティング広告等でのユーザー情報の取り扱いで、情報の不透明性とユーザーの同意取得に関して疑いを持たれたのです。これは直ちに違反と判断され、結果としてフランスのデータ保護機関は同社に5,000万ユーロという巨額の制裁金を科しました。

ほかにもポルトガルのデータ保護機関が同国のある病院に40万ユーロの制裁金を科した例があります。アカウント上での医者の数を偽ったうえに、すべての医者がすべての患者データにアクセスできる状態を放置していました。データの機密性が不十分であることを、病院側は指摘されました。

3.日本企業が無関係だとは、必ずしも言い切れない

実はGDPRは海外での法令とはいえ、日本の企業も無関係だとはいえません。業務上でEUとの結びつきが強い場合はもちろんのこと、思わぬ形においてもGDPRの対象となるケースが十分に考えられます。以下に具体例を挙げていきましょう。

EU圏内に子会社や支店などを配置していればもちろんですが、商品やサービスを提供している場合、加えてデータセンターなど、EUからの個人データの処理を委託している企業についても、GDPRのルールに準拠する必要があります（下図の1のケース）。

さらに注意すべき点は、EU圏内に居住するユーザーの行動データなどを取得している場合です。実はこれも適用の範囲内で、たとえば、インバウンド向けのサイト運営でCookieなどのオンライン識別子を使用している場合（下図の2のケース）、GDPRに則った情報管理が求められます。

（※）独立行政法人 中小企業基盤整備機構「中小企業にとって必要なGDPR 入門編」

ほかにも、人の移動に伴うデータの移行も対象になり、GDPRが適用されます。たとえば、EU圏内に所在している日本人がデータを携えて日本に戻った場合、データの移送と見なされます。

4.GDPR対策として、企業が取り組むべき３つの課題

このように一度でもEUを通過した個人データは、企業の所在地や規模などを問わず、対象になると考えるべきです。心当たりのある企業は適切な対応に備えなければなりません。そのためにはまず、個人データを取り扱う際にGDPRが定めた企業が果たすべき義務について、しっかりと把握しておくことが大切です。

まずは個人データを取得する際の義務として、事業者はその目的を本人に伝えなければなりません。そのうえで同意を得る必要があり、さらにはデータへのアクセス権も付与しなければなりません。管理面では、組織内部でデータ保護責任者を選任することが義務付けられ、EU圏外の事業者については圏内に代理人を選出することが求められます。このほか人種や性的指向などのセンシティブデータの原則取扱い禁止や、データ侵害時の通知義務も定められています。

（※）経済産業省「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」

義務に関して理解したうえで、優先して企業が取り組むべき課題は3つあります。

まずは、自社内における個人データの現状をしっかりと把握することです。現段階でどういった個人情報がどこに保有されているのか、さらにどのような流通経路でやり取りされているかを調査します。同時にアクセス履歴や閲覧履歴の記録方法が適切であるか確認も必要です。

現状をしっかりと把握したら、次に具体的な対応策を練ります。業務の推進体制を整え、データ保護に関するポリシーなど、社内ルールの作成を行います。インシデント時の対応など、リスクに関する対応策も必要不可欠です。

現状把握と計画策定という基盤固めの後は、実践的なセキュリティ対策の強化です。

たとえば、問題が発生した場合に、すぐにそれを検知できること、さらに関連情報を共有できることが不可欠です。このためには、データの可視化が有効となります。同時にリスクマネジメントとして、データの保護や制御、マルウェアなどによるデータ流出の防止策も意識すべき点となります。GDPR対策のセキュリティシステムの強化に取り組むことは、企業全体の情報セキュリティの見直しにもつながります。

ここまで見てきた通り、GDPRは適用範囲や内容が幅広く、さまざまな側面での対策が求められるため、全体像を正確に把握することは容易ではありません。

しかし、日本でも2020年6月に「個人情報保護法改正案」が公布されるなど、国や地域を問わずデータ保護に対する意識は高まり続けています。ICTの発達により、ビジネスのグローバル化が進むなかで、データの流通は今後ますます活発化することが予想されます。

データがビジネスに欠かせなくなりつつある現在、データ保護に対する取り組みは企業規模を問わず重要です。自社には関係ないと思わず、GDPRや個人情報保護法改正案をはじめとするデータ保護に関する規制を日ごろから意識しておくとよいでしょう。