施行日にも大きなインパクトが
2018年5月25日、GDPR(General Data Protection Regulation:一般データ保護規則)が施行されました。セキュリティ専門メディアで採り上げられたのはもちろんですが、雑誌にも特集記事が載り、テレビやラジオでも報じられるなど、施行間近になって急に認知度が向上したように感じます。
また、GoogleやFacebookなど4社が、施行日に欧州のプライバシー保護団体から、規約に違反しているとして提訴されたという一報も入ってきましたし、国内では、5月31日に日本とEUが個人データの相互移転に関するルール作りで、基本合意に至ったというニュースも伝わっています。今回はこのあたりの新事情も踏まえて、日本企業がとるべき対策を考えてみましょう。
GDPRの“精神”をまず理解する
GDPRは、“EU(欧州連合)が2018年5月に発効した個人情報保護に関するレギュレーション”です。日本の個人情報保護法に相当するものですが、国内の法律に比べると個人情報の範囲は広く、データの扱いにはより厳しい取り決めがあります。
GDPRは「ISMS(情報セキュリティマネジメントシステム)」のような、情報システムの機能や運用方法に関する具体的な要件というより、個人情報を扱う際の“考え方”が中心になるもので、ここが日本企業にとって対応の難しさにつながっていると言えそうです。
加えて、GDPRの条文は長大で複雑ということもあって、すべてを咀嚼して対策に落とすことは容易ではありません。ここではまず、GDPRの施行に至った背景を復習しながら、GDPRの“考え方”を押さえておきましょう。これから本格的な取組みを進める方にとっても、対策を見直すという方にとっても、決して遠回りではないはずです。
ヨーロッパは個人情報保護の先進地
インターネットなどに書かれた情報の削除を要請する権利、いわゆる“忘れられる権利”を立法化する動きはフランスが発信地でしたが、人権尊重、個人情報の保護に関しては、ヨーロッパは先進地です。個人情報保護の分野では、インターネットが身近なメディアになる前の1995年には、「EUデータ保護指令」が発令されています。
1995年以降の20年あまりで、メディアという視点では、世界は大きく変化しました。ネットショッピングや各種Web予約サービス、SNS、インターネットバンキング、そしてスマートフォンもすっかり浸透し、企業や団体が個人情報を扱う機会は激増しています。
もう一つの側面は、個人情報のビジネス利用の拡大です。サイトに会員登録してある居住地や年齢などの属性、Webの閲覧履歴といったデータをもとに、企業が適切な広告を出したり、マーケティングに生かしたりといった活動をすることは当たり前になりました。しかし、こうした形で自分の情報が利用されていることに気づいていない人も少なくありません。
このような環境の変化から、「EUデータ保護指令」に代わる新しい法体系が必要になったことは想像に難くないと思います。また、「EUデータ保護指令」は加盟各国が独自の法制度を敷いたため、国によって個人情報の扱い方のルールが異なるという課題も生じていました。そこでEU全体の統一的な規則として整備されたのがGDPRなのです。
1995 「EUデータ保護指令」 →
2018 「GDPR」 「指令」 から 「規則」へ
「各国で制定」 から 「EUの統一ルール」へ
個人情報の「移転」と「処理」を規制
GDPRの骨子を短く示すと、“EUが定めた個人情報の「移転」と「処理」に関する取決め”です。対象地域は、EU加盟店28カ国にノルウェー、リヒテンシュタイン、アイスランドを加えた「EEA:欧州経済領域」。
「移転」とは、EEA域内で取得した個人情報を外に持ち出すことで、原則的に禁止されています。例えば、域内にある支社が業務で得た市民の個人情報を、日本の本社に送ることも「移転」と見なされます。
「処理」は、メールアドレスの収集、顧客データベースの作成、個人の属性に応じたグループ化、購買履歴の参照など、いわゆる「データ処理」から連想されるいろいろな局面が含まれます。
個人情報の処理には同意が必須
企業や団体が個人情報を扱う際は、“個人情報の収集や処理には個人の同意が必要”“個人情報の取得目的が明白になっている”“要請に応じて削除できる”などの要件が定められています。
冒頭で触れたGoogleやFacebookなど4社が、プライバシー保護団体から提訴されたというニュースは、個人情報の扱いに関するもので、“個人情報の収集や処理には個人の同意が必要”という取決めに対する4社の解釈に問題があるとしたものです。
日本企業とGDPRの接点は?
GDPRの対象は、EEA域内に居住する市民の個人情報を扱う企業や団体です。事業者の規模は問いません。具体的には、以下のような形態が含まれます。
-EEA域内で活動する企業、団体
-EEA域内の市民に商品、サービスを提供している企業、団体
-EEA域内の企業、団体と業務上の接点を持ち、個人情報を扱う事業者
域内に拠点はなくとも、商品やサービスを提供する企業や、域内の会社と業務上の接点があり、個人情報を扱う事業者は対象です。この条件には、多くの日本企業が含まれるのではないでしょうか。
例えば、オンラインショッピングやオンラインゲームなどで、個人情報を取得する企業、EEAからの旅行者を受け入れるため個人情報を入手する宿泊施設なども、“個人情報の取得目的が明白になっている”など、前述したような要件が適用されることになります。
日本も「移転可能」圏内へ
EEA市民の個人情報は、社内利用であっても原則的に「移転」は認められませんが、“EEA域内と同等の情報保護体制が整っている”と認定を受けた地域は、従来通り移転が可能です。2018年6月現在、日本はここに含まれていませんが、調整が続けられていて、これが冒頭で記した「日本とEUが個人データの相互移転で基本合意」というニュースです。
この認定を「十分性認定」と言い、日本の個人情報保護委員会とEUの委員会の担当者が協議を行い、日本が認定を取得するための作業を加速していくことになりました。早ければ、2018年秋にも認定が得られるとされています。
合意前に必要な移転手続き
「十分性認定」を受けているのは、スイスやイスラエル、ニュージーランドなど11の国と地域(2018年6月現在)で、認定がない地域へ個人情報を移転するルールとして、以下が定められています。
-SCC(Standard Contractual Clauses)
個人情報を移転する組織間で、案件単位で契約を結ぶ。適用する組織は、契約の履行に則した情報保護の体制が整備されていることが前提。
-BCR(Binding Corporate Rules)
企業グループなどの単位で移転する際の契約形態。定められた規則に沿った契約内容を文書化し、EEAが認定したデータ保護機関(後述)から承認を得た上で移転が可能。
合意後も留意点が
日本とEUの間で移転に関する合意が形成されれば、日本企業の負担は大幅に減るはずです。ただ、認定が下りたとしてもSSCとBCRが完全に破棄できるわけではありません。
例えば、SSCの契約を交わしている場合、日本とEEA以外の国の企業が含まれているとしたら、従来の方法を踏襲すべきでしょう。認定は日本とEUの間ですから、それ以外の地域が入れば、SSCに則ったデータの移転が必要になるからです。
GDPRが扱う個人情報の範囲
個人情報に対するEUの定義は、日本の個人情報保護法より広い点は注意が必要です。例として以下の要素が挙げられます。
住所、氏名、生年月日、性別
マイナンバー、クレジットカード番号、パスポート情報、電話番号、従業員番号、各種サービスID、
位置情報、IPアドレス、Cookie(Webサイトでユーザー識別などに使うデータ)、
身体的、遺伝的、経済的、文化的などの要素に関して固有性を持つ情報、など。
位置情報やIPアドレス、Cookieなどは、何らかの方法で氏名などと照合しない限り個人の特定はできませんが、個人と結びつく可能性があるデータは個人情報に含まれます。
コラム前半でGDPRが制定された背景として、“個人情報のビジネス利用の拡大”に触れました。位置情報やWebの閲覧記録、カードの決済履歴などのデータが、広告などに使われることですが、GDPRにはこのような情報をコントロールする権利を、市民の側に取り戻すという狙いがあるわけです。
日本企業が留意すべきポイントは?
これ以降は、GDPRの条文の中で、日本企業が特に留意すべき点、対策としてシステムや管理体制に落とすべきポイントを抽出します。
個人情報の漏えいなどが発生した場合は、72時間以内にデータ保護機関(後述)に通知することが義務付けられています。同時に個人情報を保有しているすべての人に、遅延なく通知しなければなりません。
過去の情報漏えいの事例では、漏えいに気づくまでに数日から1カ月以上かかったケースも珍しくありません。また、被害の全貌を把握してから公表するという手順を踏むことが多く、従来のやり方では「3日以内の報告」は難しいと言わざるを得ません。
“72時間の保証”は困難としても、管理体制の見直しと再構築は必須でしょう。情報漏えいは、外部からの指摘で判明することも多いため、社内のチェック体制の点検や、インシデントの発生時に円滑に関係機関に報告を行う体制作りが求められます。
一定の要件を満たす企業・団体は、個人情報保護に関する専門知識を有する「データ保護責任者(DPO:Data Protection Officer)」を置く必要があります。
要件の一例として、データ処理が公的機関、または団体によって行われる場合、データ処理を行う事業者の業務が、大規模、定期的かつ系統的な監視を必要とする場合などとされています。
要件に当てはまらない場合は、設置は必須ではありませんが、大規模、定期的、系統的に個人情報の処理や移転を行うケースは含まれますから、多くの企業・団体が該当するはずです。
GDPRを管轄する組織は「データ保護機関(DPA:Data Protection Authority)」です。DPAは個人情報を扱う企業などの組織(情報管理者)や、情報管理者からデータの管理や処理を受託する組織(情報処理者)が、適切にデータを扱っているか否かを定期的に監視します。
DPAはEU加盟国に設置されています。日本を含むDPAが設置されていない国や地域の組織が、EU市民の個人情報を扱う場合、取り扱う個人情報がもっとも多い国のDPAが窓口になって、データを移転する際の契約内容の確認やインシデント時の対応などに当たります。
GDPRに違反した場合の制裁金は、以下が定められています。どちらが適用されるかは、義務違反の形によって異なり、DPAが判断します。
-1,000万ユーロ(約13億円)、または企業の全世界での前年度の総売上の2%の高い額
-2,000万ユーロ(約26億円)、または企業の全世界での前年度の総売上の4%の高い額
GDPRの認知度が上がったのは、“26億円か総売上の4%”という巨額の制裁金が要因の一つになったことは否めません。
違反が認められた場合、いきなり制裁金を求める訴状が届くことはなく、警告、懲戒などのプロセスを経るとされています。いずれにしても、制裁金は大企業でも経営に深刻なダメージを与える額ですから、ワーストシナリオとして認識しておいた方が良いでしょう。
具体的なアプローチは?
GDPR対応に向けて、日本企業が行うべき対応を整理しておきます。
企業が取り組むことは、まず自社の情報管理の実態把握です。どのような場合に、どのような個人情報を集めているのかを整理し、GDPRに違反する可能性がある要素を取り除くための対策を行っていきます。
具体的には、以下のような要素を明確にします。
-個人情報を、どのような場合に、何のために収集するのか
-個人情報の保存場所と期間
-個人情報の削除要請に対する基準や方法
-個人情報を共有する事業者
5月25日の施行日の前後には、いくつかの著名企業からもプライバシーポリシーの改定に関する案内が出ていましたが、GDPRを遵守するには、ポリシーの見直しと管理体制の再構築が必要になる組織が多いと思われます。
個人情報を保護する体制の見直しも必要です。前述したインシデントの発生時における72時間以内の通知義務への対策、そしてデータ保護責任者(DPO)の設置は、多くの企業や団体で必要になると思われます。
土台は個人情報管理と情報セキュリティ対策の強化
GDPR対応の基盤となるものは、言うまでもなく個人情報管理と情報セキュリティ対策の強化です。基礎的な安全対策が疎かになっては、プライバシーポリシーの改定やインシデント時の連絡体制の強化を計ったとしても、意味をなしません。
まずは、どこにどれだけ個人情報を保有しているのか個人情報の棚卸を行い、現状を把握することから始めてはいかがでしょうか?属人的な管理をしている場合、思わぬところから顧客データが見つかることもあります。また、個人情報管理はしっかり行っていても、肝心の情報漏洩対策がおざなりになっていては、個人情報漏洩事件が容易に発生してしまいます。GDPRをきっかけとして、属人的な管理や対策から脱却し、セキュリティシステムで守ることを検討してはいかがでしょうか。
免責事項:本記事の目的は、GDPRの理解を助け、対処を促すことです。本記事をGDPRの法的解釈に使用することはできません。