欧州の個人データ保護新ルール「GDPR」施行で日本企業も大ピンチ?いちから解説!

 5月25日、ヨーロッパで個人データ保護のための新ルール「GDPR(General Data Protection Regulation:一般データ保護規則)」が適用開始となった。GDPRは、EU加盟国をはじめとする延べ31カ国に住む人々の個人情報保護を目的としており、名前や住所のみならずメールアドレス、クッキーなども含む幅広い個人データの運用について定めている。


 厳しい制限も設けられており、違反をすれば最大で「全世界年間売上高の4%」もしくは「約26億円」のうち高い方の制裁金が科される。例えば、売上高9兆円のソフトバンクなら約3600億円、売上高29兆円のトヨタなら1兆円超えだ。先日の施行を受けて、早くもGoogleやFacebookなどへ苦情を提出するといった動きを見せるプライバシー擁護団体もあるという。


 ヨーロッパだけでなく実は日本にも深く関わってくるGDPR。『けやきヒルズ』(AbemaTV)では、GDPRについて日本の企業にアドバイスを行っている公認会計士で公認情報システム監査人、EY Japanの梅澤泉氏に話を聞いた。

 日本の企業がGDPRの適用対象になると想定されるのは、「欧州31カ国に住む人々が顧客」「31カ国の人々の個人情報にアクセスする可能性がある」場合。適用開始から2週間、すでに日本企業のウェブサイトの中ではGDPR対策がされているものもある。実際日本の企業は対応できているのか、梅澤氏は「日経新聞の調査によると、日本企業の8割は完全に対応できていない。これから準備を進めていくことになるが、このまま何もしていない状態で万が一GDPR違反となってしまうと、謝罪で済ませることだけでは終わらなくなる可能性がある」と懸念を示す。


 個人情報を守るという観点では、日本でも2005年に「個人情報保護法」が施行されているが、GDPRが大きく異なるのは個人データの範囲が大きいこと。住所、氏名、顔画像、遺伝子、メールアドレスに加え、GDPRでは「IPアドレス」やインターネット広告に使われる「クッキー」も含まれる。また、企業側が情報を収集する場合は「明確な同意」が必要で、ユーザー側は「忘れられる権利、データを削除する自由」を有する。

 一見、企業の活動が制限されるようにも捉えられるGDPRだが、ハフポスト日本版編集長の竹下隆一郎氏は「企業を縛るというよりは、個人が自分たちの情報をきちんと主張できるように整備する法律」との見方を示す。インターネットが無料で使えることが前提にあるとし、「メッセージを送る機能やドキュメントを作れる機能がタダで使えるのはおかしいと言えばおかしい。個人情報を元に広告ビジネスを作っているのがインターネットで、そこの個人情報をもう少し適切に管理しませんかということ。ただそうなると、無料のビジネスモデルが成り立たなくなってくるので、課金制にするのか他の収益を考えるのか、シリコンバレーのIT企業のビジネスモデルが変革を迫られている」と指摘した。


 では、日本の企業はどのような場合にGDPRの適用対象となるのか。2つの例を元に、梅澤氏に「アリ」「ナシ」を判定してもらった。


(1)フランスで取引先である現地企業の名刺をもらい、そこに書かれたアドレスを日本の本社に送る


→【NG】


 「名刺を渡したフランス人の方が、自分の情報がどのように使われるのか、あるいはどこに流れていくのかをどこまで予見できているかが問題になってくる。GDPRの中では『データ移転規制』といって、EU圏外に個人情報を持ち出すことが原則禁止されている。データ移転が認められる“十分性認定”を受けている国は限られていて(※)、日本はまだ。いま、GDPRと日本の個人情報保護法を見比べていて、どこが足りないのかその差が協議されている。十分性認定は早ければ今年の秋にも下りるのではないか」(梅澤氏)

※現在はスイスなど7カ国4地域のみ


(2)日本の家電メーカーが運営するウェブショップ(日本語表示のみ)で、イタリアの客が家電を購入。クッキーに沿って関連商品の広告を載せた


→【OK】【NG】


 「GDPRの適用範囲がどこまで及ぶのかを考える上で極めて難しいところ。このケースは『日本語表記のみ』となっていて、ウェブサイトが日本人のためだけに作られている、日本人だけに買ってもらうことを想定している、と考えることもできる。さらにこのウェブサイトが日本円でしか決済できないようなサイトであれば、一旦はGDPRの適用から外してよいという判断になる可能性は高くなる。ただ、日本語ペラペラのイタリア人の方が、日本語のサイトで日本円で決済した時は判断が難しい。何かしらのGDPRへの対応を検討しなければいけないという考え方もありえる」(梅澤氏)

 このような曖昧かつ規制の厳しいGDPRについて、竹下氏は「EUやヨーロッパは個人の力・権利を打ち出してきた」とし、日本においては「消費者保護というのは、例えば日本でも公害とか食品汚染など、消費者対企業と対立してきた面がある。しかし、最近の若い人に取材すると『個人情報を渡してもいい』という人がいる。必ずしも企業と消費者が対立せず、消費者が企業に寄り添っている構図もある」と難しさを指摘。一方、企業への影響においては「自由な経済活動が停滞するのは国・世界にとってよくないので、一度ルールを整備したうえでどう自由に振舞うのか、どう経済を発展させるのかを考えるいい時期に来ている」と述べた。

(AbemaTV/『けやきヒルズ』より)


▶︎放送済み『けやきヒルズ』の映像は期間限定で無料視聴が可能。

続きを見る

0コメント

  • 1000 / 1000