2018年5月25日、「GDPR(General Data Protection Regulation:EU一般データ保護規則)」と呼ばれる個人情報保護規定が施行されました。これは従来の「EUデータ保護指令(EU Data Protection Directive)」に代わるもので、インターネット技術の進歩とグローバリゼーションの進展を背景に、より強力な個人情報保護・プライバシー保護を目的としています。
GDPRはEEA(EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)で発効し、基本的にはEEA域内から第三国への個人データ移転を禁止するものです。ここでいう個人データとは、「識別された、または識別され得る個人(「データ主体」)に関するすべての情報」のことです。具体的には以下のような情報を含みます。
規制に違反して個人データを移転した企業には「最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い額(約28億円)」と、非常に高額な制裁金が課されます。
GDPRの条文では、規制の対象について「その取扱いが域内で行われるものであるか否かを問わず、域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される」としています。
ここでポイントとなるのは「域内の管理者又は処理者の拠点」という言葉です。この拠点とは、必ずしも本店だけを指す言葉ではありません。つまり
であれば、GDPRの対象となるというわけです。また続く条文によると、
上記も規制の対象に含まれます。このことから、拠点や物理的な装置(サーバーなど)がEEA域内にあるかどうかにかかわらず、域内の企業や個人と何らかの取引を行っている企業はすべてGDPRの対象となります。
GDPRでは個人データの取り扱いに関するさまざまなルールや個人の権利、企業の義務を定めています。その中でも特に企業が留意すべきポイントは、以下の3点です。
データ主体(個人データの本人)の同意は、原則として個人データを取得する際に必要です。企業は「別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて」同意を求めなければなりません。なおデータ主体はいつでも同意を撤回することができます。
プライバシーポリシーは「簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、 明確かつ平易な文言を用いて」示すことが必要です。記載事項の具体的な指定はありませんが、個人データ保護に関する基本方針や取得するデータの種類、その管理方法や利用方法、第三者への提供の条件や問合せ窓口などは必須でしょう。域内を対象とするWebサイトを開設している場合はCookieポリシーも必要です。
データ保護責任者を設置する必要があるのは、大量の個人データを処理または保管する組織です。データ保護責任者には少なくとも以下の責任が課せられています。
企業に求められる義務の多さと、違反した場合の罰則の厳しさから、GDPRに対してネガティブな感情を持つ企業は少なくないでしょう。しかしGDPRに準拠した行動をとることで、
というプラスの効果が得られることも忘れてはなりません。つまりGDPRを通して、 デジタルトランスフォーメーション(DX)を推進するための基盤を構築できるのです。
たとえばGDPRの要件である「データの正確性」を確保するには、「プロファイルデータ、クリーンデータ、標準データの収集」を行わなければなりません。これはアナリティクスやCRM、HRプランニング、財務報告の分野でDXを推進するために欠かせない項目です。
GDPRで求められる個人データの「仮名化(偽名化)」を実現するには「データマスキング」の技術が必要ですが、これはインテリジェントセキュリティ、パーソナライゼーション、アナリティクスの分野で役立ちます。
このような事例は他にも数多くあります。すでにGDPRに対応している企業はもちろん、これから対応する企業も、ぜひこうした観点から積極的な取り組みを進めてみるのはいかがでしょうか?
GDPRがもたらす好影響と、GDPRをチャンスに変えるための6つのステップについて詳しくお知りになりたい方は、右記をご覧ください。