「GDPR(一般データ保護規則)」とは、EUが2016年に制定したプライバシー保護の法律であり、2年間の周知期間を経ていよいよ2018年5月25日に施行される。

欧州に拠点のない日本企業などに対しても、制裁金を科すなど厳しい規則が適用される。たとえば、日本企業のウェブサイトをEU域内の利用者が閲覧し、その個人情報——自動収集されるIPアドレスさえも個人情報になる可能性がある——が適切に取り扱われていない場合には、全世界での年間売上高の4%もしくは2000万ユーロ(約25億円)のいずれか高い方が、制裁金として科せられる恐れがあるのだ。

これから企業価値を高めていくには、プライバシー保護対策、サイバーセキュリティ対策が絶対不可欠となってくる。

そこで、最新刊『GDPRガイドブック』(足立照嘉、ヘルマン・グンプ著、実業之日本社刊)の一部から、その概要を紹介したい。今回はシリーズ3回のうちの2回目となる。



■GDPRの施行によって何が変わるのか?

GDPRは、突然できた規則ではない。GDPRの原型となったのは、いまから23年前の1995年に制定され、世界中のプライバシーに関する規制の先駆けとなった「EUデータ保護指令」である。このルールについて、今一度振り返ってみよう。
EUデータ保護指令は、あくまで「Directive(指令)」であるため、原則として国内での関連法を整備する必要がありますよ、という意味合いのものであった。
「指令」をもとに、1998年までにEU加盟国では国内の法制度を整備することが要求された。そして、「指令」自体には法的拘束力がないため、法の執行については各加盟国に委ねられている。
ところが、その結果、データ保護法は加盟国毎に異なり、「31」ものデータ保護法が存在している。指令を国内法に導入する際の対応には、ある程度の柔軟性が許容されたため、法制度は国ごとに大きく異なっている。
そこで、加盟各国のデータ保護機関代表と欧州委員会司法総局データ保護課代表、欧州データ保護監察機関代表らによって構成される「第29条作業部会」が設けられ、加盟国のデータ保護法に調和をもたらすために、特定の問題に関して共通の解釈と分析を提供することに取り組んできた。

それでは、2018年5月25日以降、何が変わるのか?
まず、EUデータ保護指令は2018年5月24日をもって廃止とされ、加盟国ではGDPRに統一される。
ただし、ジャーナリズム・研究等の範疇については、加盟国が各国でのデータ保護法を立法することができるとされている。
また、加盟国の調和を増大させることにも重きを置かれており、第29条作業部会は「欧州データ保護会議(EDPB)」へと改組される。
適用対象範囲は明確にされ、EU域内に拠点を持たない企業も対象となる。
これまでは各加盟国に委ねられていた執行と制裁を増大し、法的拘束力のある規則となる。莫大な金額の制裁金制度が導入されることは今回の大きなポイントだ。
企業に対しては、データ保護指令にはなかった概念である「説明責任」を導入し、記録保持義務が強化され、データ保護責任者を任命しなくてはならない場合もある。
また、個人データの移転に係る要求事項や個人の権利侵害に係る通知義務などが具体化されている。

そして、本人の同意について立証できなくてはならない。
個人に対しては、これまでの権利を一層強化する。
忘れられる権利やデータ・ポータビリティに関する権利、ダイレクトマーケティングの拒否権、プロファイリングによる判断を受けない権利の明確化。16歳未満の個人データの取り扱い制限などが導入されている。
そして、技術の発展を反映して法の範囲を定める定義のいくつかも変更されている。
例えば、IPアドレスなどのオンライン識別子などの情報も個人情報になる可能性があることを明らかにしている。
また、仮名化もしくは匿名化された個人情報については、GDPRの範囲内に収まる可能性もあるとされている。いわゆるビッグデータへの適用に関係してくる。
また、GDPRには加盟国の国内法での拡張や定義が可能な50~60(カウントの仕方によって異なる)の「開放条項」が存在するため、加盟国ごとに別途条項を設けることができる。
開放条項が規則としてはあまりに多く、むしろ指令に近いという側面もあるため、目的であった統一が実現されていないのではとの見解を示す考えもある。


■著者
足立照嘉 (Teruyoshi Adachi)
サイバーセキュリティ専門家
欧州および北米を拠点に活躍し、2018年現在で30カ国以上でサイバーセキュリティ事業を展開。
主に航空宇宙産業のサイバーセキュリティに取り組んでおり、日本を代表する企業経営層からの信頼も厚い。

ヘルマン・グンプ(Dr.Hermann Gumpp)
データ保護専門家
ミュンヘン(ドイツ)を拠点に欧州で活躍し、ミュンヘン大学(LMU)や日系企業などのアドバイザーも務める。
東京の国立情報学研究所(NII)での研究開発経験もあり、日独産業協会(DJW)ITワーキンググループの中心人物である。


■協力
浅田 稔
(大阪大学大学院工学研究科 教授)
安藤類央
(国立情報学研究所 サイバーセキュリティ研究開発センター 特任准教授)
Dr.Jamie Saunders
(元・英国国家犯罪対策庁 国家サイバー犯罪局長・機密情報局長)
中川博貴
(株式会社フィスコIR 取締役COO・フィスコファイナンシャルレビュー編集長)
八子知礼
(株式会社ウフル 専務執行役員・IoTイノベーションセンター所長)
松田章良
(岩田合同法律事務所 弁護士)




<US>

情報提供元: FISCO
記事名:「 GDPRの衝撃(2)施行によって何が変わるのか?