基礎からわかるＧＤＰＲ（その３）

2018年7月7日読売新聞朝刊。前日のオウム真理教元幹部７名に対して行われた死刑執行や、西日本での大雨のニュースが紙面の大部分を占める中、特別面に掲載されていたのは「基礎からわかるＧＤＰＲ」。ここには「世界一厳しいルール」とされるＧＤＰＲにおける規制の概要や課題が書かれていた。

一般データ保護規則：ＧＤＰＲ（General Data Protection Regulation）は、2016年4月に欧州議会で採択された法律に相当する強制力を持ち、個人データの取得・処理方法、域外への移転などを規制し、企業に厳格な管理を求めている。

ポイントは「１．どんな規制」「２．導入の背景」「３．実効性」「４．日本企業の対応」の４点。

今回は残りの「３．実効性」「４．日本企業の対応」について概要を記述する。

３．実効性

ＧＤＰＲの施行日前後には、欧米の大手企業は新しい規制への対応を迫られ、欧州の利用者に対して、自社の個人情報保護に関する方針や顧客の権利などを確認するメールを相次いで送った。その一方で、社内の情報管理体制が追い付かない一部の小規模企業の間では欧州事業から撤退する動きも出ている。とある米新興企業はＳＮＳに「欧州ユーザの皆さん、ごめんなさい。ＧＤＰＲの影響でサービス提供を続けられません。」と投稿し、新規制の施行を理由にサービスを打ち切った。中小企業は個人データを保護するための人員や費用を十分に確保するのが難しいうえ、ＧＤＰＲに違反して巨額の制裁金を科せられれば経営に深刻な打撃となる。欧州市場への進出を目指す米国や日本などの新興企業にとって、厳しい個人情報保護のルールが参入の障害になる可能性がある。ＧＤＰＲの施行に携わったＥＵ関係者は、「中小企業に嫌がらせをするつもりは毛頭ない」と強調しており、当面はＧＡＦＡのように個人情報を大量に扱う大企業が事実上の規制対象となりえる。

４．日本企業の対応

欧州で顧客などの個人情報を扱う日本企業は多く、ＧＤＰＲへの対応が急務となっている。某化粧品メーカーは2016年、ＥＵ域内のグループ会社にＧＤＰＲのプロジェクトチームを作り準備を進めてきた。欧州には30か所以上の拠点があり、顧客や取引先、社員の個人情報を扱う。まず、欧州の拠点と、本社を含めた他地域の拠点との間で「標準契約条項」を結び、域外に個人情報を移転できるようにした。企業には「どこまでが個人情報かを判断するのが難しい」との声もあるが、対応に苦慮する企業が多いことは商機も生んでいる。ネット接続サービス大手の企業はＧＤＰＲの指針などの情報を提供するサイトを開設し、企業の取り組みがＧＤＰＲに適合しているかを診断するサービスなどを手がけ、ハードウェアメーカの大手企業では自社のＧＤＰＲへの取り組みを活かし、対応ノウハウを持たない企業向けの支援ビジネスを検討している。ＧＤＰＲへの対応に苦慮している企業は利用を検討してはいかがか。

終わり。