EU圏での法規制「GDPR」についてISMS取得事業者からよく頂くご質問
こんにちは。
世の中的には夏休みも始まり、まさに夏真っ只中といった感じですよね。
土日になると私の家の近所でも、子供たちが家の庭や玄関先でプールを出して水遊びをしているのをよく見かけます。
大人になった私も、実はかなりうらやましい遊びです(笑。
そんな先週の土曜日は、船井総研様の障害年金分科会にて少しだけ当社の取り組みをお話させて頂く機会を戴きました。
全国から社労士様が東京本社に朝10時から大勢集まり、遠くは岡山から始発の新幹線でお越しになられていらっしゃる先生もおられました。
土曜日にもかかわらず、毎度この会の皆様方の勉強熱心さには感銘を受けます。
やはり、伸びてる(イケてる)士業事務所は違いますね(驚。
|EUの一般データ保護規則(GDPR)について
さて、先日も当社の井上コンサルタントがブログで触れてましたが、5/25にEUで施行された一般データ保護規則(GDPR)が話題で、7月に入りお客様からもよくご質問が寄せられます。
(週刊ダイヤモンドをはじめ、多くの経済紙でも特集が組まれ始めております。)
※当社でもGDPR対策コンサルサービスを実施しております。
5/25以前のEUの個人情報保護に対する法規制は、いわゆる「データ保護指令」のもとにルール化されていたのが、これを強烈にバージョンアップする形で新規制が施行され、それが日本でもやっと注目され始めたというわけです。
それがGDPR(ジーディーピーアール)です。
このEU兼での法規制「GDPR」が、遠く離れたこの日本でも注目の理由は主に3つの高いハードルと考えられます。
|(1)制裁金がめちゃくちゃ高い
違反した場合の制裁金は「売上高の4%」もしくは「2000万ユーロ(日本円で26億1,180万円)」のいずれか高い方。
|(2)個人“データ”の定義が日本に比べて広い
①名前、現住所(所在地)
②オンライン識別子(IPアドレス情報、クッキー情報)
③個人、法人のクレジットカード情報
④メルアド(有料サーバー、フリーアドレス、PC、スマホ 問わず)
|(3)適用範囲がとっても広い
①ビジネス以外の渡航、たとえ出張や旅行でEEA(欧州経済領域)にいる日本人のデータを日本に移転する全てのケースもGDPRの保護対象となる。
②EEA内に支店・現地法人を持たない企業もEEA域内にサービス提供をしているとGDPRの適用範囲となりうる。
※EEA(欧州経済領域)とは、、、、EU加盟28カ国にアイスランド、リヒテンシュタイン、ノルウェーを加えた地域の事
例えば日本の代理店を含む旅行会社がEEA内に対してWEB上で航空券や旅行パックを販売している場合、申し込みの過程で得た全ての情報は個人データに該当し、GDPRに従ってデータの移転や削除を行う必要が出てくるケースもありうることになります。
Facebookで8700万人以上の個人データが不正に第三者に渡され大統領選挙に流用された(と疑われている)問題を受けて、IT・HRの利便性の裏側にある個人情報/個人データ保護の重要性が今改めて考え直されているというわけです。
5/25の施行開始以来、早速指摘されたのがフェイスブック社だったのは、みなさまもニュース等でご存知の方も多いのではないでしょうか。
つい先日の独占禁止法で制裁を受けたGoogleなどなど、何かと強気なEUです。
(GDPR施行、フェイスブック、グーグルに違反の申し立て 事実上の世界標準に?)
一方、日本の大多数の企業では、直ちに何か対策を取らなければいけないことは今のところ少ないのが現状です。
しかし、今後日本でも同様のルール整備が進む可能性は十分にあるので一定の注意が必要です。
日本の個人情報保護法の見直しは、通例だと欧米の10年遅れです。
とはいっても、近年は今まで以上にハイスピードでインターネット広告、SNS、HR系企業の乱立、ブロックチェーン技術の進歩、フィンテック、仮想通貨などあらゆるITサービスの目まぐるしい発展において、個人情報並びに個人データの取得・有効活用は切っても切れない要素である事を考慮すると、「10年遅れだからまだまだ先」などと悠長な事は言っていられないといっても過言ではないのかもしれません。
|まとめ
5月にEU圏で制定されたGDPR。
グローバル社会から目を背けることが出来なくなっている現代においては、今後ビジネスを考えていく上で大きな指標となりそうです。
また、ビジネスチャンスが潜んでいるのも確かですね。
テクノロジーの発展に伴った個人情報/個人データの保護ルールがどう変わっていくのか今後も注目したいトピックですね。
当社もこの時代の流れをコンサルチームの総力戦で注視していきたいと思います。
少しでも気になる事やご心配事があればお気軽にお問い合わせくださいませ。
※当社でもGDPR対策コンサルティングサービスを実施しております。
施行前のものですが、朝日新聞DIGITALでわかりやすい記事がありましたのでご紹介します。
★こちらの記事もおすすめ
→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている?(ISMS取得事業者からよくある質問)】
この記事を書いた人
仲手川
同じテーマの記事はこちら
AI社内利用規定の整備が急務に──国際規格ISO/IEC 42001をベースにしたルール策定の重要性
生成AIツールの普及が急速に進むなか、企業内でのAI活用に関するルール整備が大きな課題となっています。 弊社にも、ここ数か月で「AI社内利用規定」の策定支援に関するご相談が急増して […]
Chatworkを悪用したフィッシング攻撃が増えています——手口と、企業が今すぐやるべき対策
2026年に入ってから、Chatworkを悪用したフィッシング攻撃の報告が国内でじわじわと増えています。 「まさかチャットツールで?」と思う方もいるかもしれませんが、むしろ今はメー […]
ISMS(ISO/IEC 27001)認証取得の完全ガイド|5,413社支援の実績から見えた、失敗しない取得戦略
ISMS(ISO/IEC 27001)認証取得を検討中の企業向け完全ガイド。取得の流れ・期間・費用・失敗パターンを5,413社の支援実績をもとに解説。認証BPO日本一のUPFが、自社取得とBPO活用の比較から選び方まで網羅します。 […]
AIツールの社内利用規定を整備すべき理由とその進め方
エンジニアリングの現場において、Claude Code(クロードコード)を業務に取り入れる動きが急速に広まっています。 Anthropicが開発したこのAIエージェント型コーディン […]
バックオフィスDXPO、ITインフラ・セキュリティ展に出展しました~
昨日までの2日間、東京ビックサイトにて開催の『第3回バックオフィスDXPO東京’24【夏】』という展示会に当社も出店させて頂きました。 (2024年7/23・24) 今回は本社メン […]
