多くの日本企業にも求められるGDPRへの準拠
2018年5月25日、「EU一般データ保護規則(General Data Protection Regulation:GDPR)」が施行される。これは欧州経済領域(European Economic Area:EEA)における、個人情報の扱いに関する新たなルール。その内容は、個人のプライバシー権を「基本的人権の1つ」であると位置づけ、これを保護することに主眼を置いている。
すでにEUでは1995年に「EUデータ保護指令」と呼ばれる個人情報保護の枠組みが作られ、これにもとづく法整備がEU各国で進められてきたが、各国の立法内容が国によって異なっているという問題を抱えていた。そこでEU全体で個人情報保護に関する取り組みを強化するため、2016年4月に欧州議会で正式に採択されたのが、GDPRなのだ。
GDPRを「海の向こうの話」だと考えるのは、大きな誤りである。EEA域内に事業所を持つ企業はもちろんのこと、EEAの居住者に商品やサービスを提供する企業、EEA居住者に結びつくデータの収集・分析を行う企業(受託業務も含む)も、この規制の対象となるからだ。GDPRはその組織の所在地に関係なく適用される。日本企業の多くも適用対象になるはずだ。
GDPRに違反した企業には、最大で全世界年間売上高の4%もしくは2000万ユーロの、いずれか高い方を上限とする制裁金が科せられる可能性がある。これは決して低い額ではない。しかしそれ以上に恐れるべきなのは、「基本的人権を守らない企業」として、EEA市場(EU市場)から排除される危険性があることだろう。
GDPRの施行まで、すでに9ヶ月を切っている。当然ながらIT部門も、これへの対応を視野にいれた取り組みを進めなければならない。それでは実際に、どのようなアプローチを行うべきなのか。