ここから本文です

日本企業も揺るがすEUの「一般データ保護規則」

6/6(水) 11:35配信

ニュースソクラ

将来は国際標準に 対応誤る企業は信用失墜も

 欧州連合(EU)の一般データ保護規則(GDPR: General Data Protection Regulation)が5月25日に施行された。EU域内のみならず、域外諸国にも個人情報の取り扱いに劇的な変化をもたらすものとみられる。

 日本企業も氏名、メールアドレス、クレジットカード情報などの個人データをEU拠点から日本へ持ち出すことが原則禁止される。日本はいわゆる十分性条件(データ移転をする際にEUの情報保護水準を十分に満たしている)を満たさず、個別企業ごとの取り組みが必要であるため、影響が大きい。

 EUではインターネット上などにある個人情報の保護を「基本的人権の保護」とみなすところから出発している。そのうえでGDPR導入の目的は、これまで一般の個人が知ることの少なかった自分のデータがどのように使われているかを知る権利を高めること、としている。

 例えば、企業に対して、データベースから自己のデータを除去する(クレンジング)ように要求できるようになる。また個々人の明白な承諾なしに民族、政治的意見、宗教などの分類に基づいてデータ処理をすることを禁止する。

 個人にとって重要なことは、GDPRで個人に対して与えられたこのような権能を適正に行使するか否かである。すなわち、個人データがどう利用されているかを深く理解し、どこまで個人情報の利用を許し、どこから拒否するのかを自己判断することだ。

 そうした判断のできない子供は「デジタル成人(digital adults)」とみなされるまではインターネット上での登録などに親の同意がいることも定められる。

 シリコンバレーに本社を置くような米国のテック企業も当初は、制限が大きすぎると批判的であった。しかし、フェイスブックと英国アナリティカ社による8200万人におよぶ個人情報流用スキャンダルを契機にピタリと批判が止んだ。

 ただし、シリコンバレーの情報産業であるグーグルやフェイスブック、アマゾンなどにとって、インターネットの閲覧履歴や登録情報を管理する「クッキー(Cookie)」が制限されることは死活問題なので、この点については「情報流出につながりかねないクッキー利用を制限する」とするEUの方針に激しく反発している。

 GDPRはEUの個人情報保護のルールであるが、フェイスブックCOOとして著名なシェリル・サンドバーグ氏が「最も先進的」と認めただけあって、今後、世界的なスタンダードとなろう。すでに香港は、今回のGDPRに沿った法律改正の意向を示している。

 米国、日本、ASEANなどにもこの動きは広まっていこう。なぜなら、多くの多国籍企業にとってGDPRを世界標準にすることがコスト面からもデータ保護の一貫性の観点からも理にかなっているからである。

 大手コンサルタントのEY社(旧アーネストヤング社)の推計によると、フォーチュン500社にとって、GDPR適用に伴うシステム開発などの初期コストは、一社平均で1600万ドル(18億円)となる。毎年5人程度とみられる担当者の人件費もかかる。

 そこまで負担すべき十分な理由がある。もし新ルールに違反した場合には総売り上げの4%か2000万ユーロのどちらか大きい方の罰金を科せられる。この罰金の大きさが話題となっている。しかし、罰金の多寡よりも、GDPRを遵守できなかった場合、会社の信用を損なうリスクが大きく、下手をすれば会社の存続すら危ぶまれることが最大の問題である。

 従って、GDPRの対処は選任されるデータ保護責任者(data protection officer)にゆだねれば良い、というのではなく経営最高責任者が自ら陣頭指揮していく必要がある大きな経営上の問題であるといえよう。

俵 一郎(国際金融専門家)

最終更新:6/6(水) 11:35
ニュースソクラ