近年、個人情報に関するニュースをたくさん見るようになってきましたね。
最近で言えば「フェイスブックの5,000万人分のユーザー情報が流出」や「ネットショップ運営サービス「カラーミーショップ」で約7万件の個人情報流出」などのニュースが記憶に新しいところです。
さて、そんな中でも海外の大きな話題としてニュースとなっていた"GDPR"に興味を持たれた方も多いのではないでしょうか?
本記事では今さら聞けない"GDPR"について解説していきます。
GDPRとは?
GDPRとは「General Data Protection Regulation」の略で、日本語では「EU一般データ保護規則」と訳されています。
欧州議会、欧州理事会および欧州委員会が、EU内のすべての個人のために、個人情報保護強化と統合を目的として策定した新しい個人情報保護の枠組みです。
ここ数年、グローバル化の加速やビッグデータを活用したサービスの利用拡大を背景に、個人情報保護の重要性は高まっていますが、それと同時にビッグデータへのサイバー攻撃や情報漏洩リスクも急速に高まっています。
そしてEU(欧州連合)では、1995年に策定された「EUデータ保護指令」が今回より厳格なものとして2018年5月25日に「GDPR」として施工されたのです。
それではGDPRについてもう少し具体的に見ていきましょう。
GDPRの内容
適用される対象は?
EU圏内で営業活動に従事する企業や団体、EU圏内に現地拠点を置く企業や団体、また地方自治体や非営利組織などがその対象となります。
また、EU圏内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などで EU居住者の個人情報を取得したり、モニタリングする場合、適用対象となり得ます。
日本において影響を受けそうな企業は以下のパターンとなりますね。
①EU圏内に子会社、支店、営業所、駐在員事務所を有している企業
②日本からEU圏内に商品やサービスを提供している企業
③EU圏内から個人データの処理について委託を受けている企業(データセンター事業者等)
対象となるデータは?
EU を含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データが対象。ここでいう"個人"とはEEA 域内の居住者を指し、現地に拠点進出している日本企業に勤務する現地従業員や海外派遣されている日本人も含まれます。
また、IPアドレスやCookieのようなオンライン識別子と呼ばれるものも個人情報とみなされるので注意が必要です。さらに企業が個人情報を取得する際には、自らの身元や連絡先、保管期間などについてユーザーに明記したうえで同意を得なければ個人情報を取得することはできません。
この『同意』という部分でGDPR違反として提訴されたのが、GoogleとFacebook、そしてFacebook傘下のインスタグラム、ワッツアップですね。
GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴
長らくFacebookのプライバシー侵害を批判してきたMax Schremsは、‘同意するか、利用をやめるか’をユーザーに迫るテック企業を相手どり、すかさず4つの訴状を提出した。
TechCrunch Japanより引用
Googleが敗訴すれば約4,800億円の制裁金をはらうことになるらしいです・・・
それでは罰則の内容や制裁金についても詳しくみていきましょう。
罰則は?
制裁金の類型と上限額
GDPRに違反した場合には高額な制裁金が課せられます。制裁金の上限額には、次の 2パターンの類型があります。
GDPR罰則類型
1)1,000万ユーロ、または企業の場合には前会計年度の全世界売上高の2%のいずれか高い方
2)2,000万ユーロ、または企業の場合には前会計年度の全世界売上高の4%のいずれか高い方
1ユーロが日本円で約128円と考えると・・1,000万ユーロで1,280,000,000円・・12億8千万!?2,000万ユーロだと25億6千万円!?
安くても12億以上の罰則って半端ないですね。
例えば、前会計年度の世界売上高が100億円の企業の場合で類型2)が適用されると・・
売上高の4%=4億円 < 25億6千万(2,000万ユーロ)
だから制裁金の上限額は25億6千万円になる。
大企業の経営を揺るがしかねない金額になりますね。
義務違反内容の類型
上記の制裁金1)と2)が適用される義務違反内容の類型は以下の通りです。
制裁金の上限額の基準 | 義務違反の類型 |
企業の全世界年間売上高の2%、 または1,000 万ユーロのいずれか高い方(第 83 条(4)) | ・16 歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(第 8 条) ・GDPR 要件を満たすために適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(第 25 条、第 28 条) ・EU 代理人を選任する義務を怠った場合(第 27 条) ・責任に基づいて処理行為の記録を保持しない場合(第 30 条) ・監督機関に協力しない場合(第 31 条) ・リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(第 32 条) ・セキュリティ違反を監督機関に通知する義務を怠った場合(第 33 条)、データ主体に通知しなかった場合(第 34 条) ・影響評価を行なわなかった場合(第 35 条) ・影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に助言を求めなかった場合(第 36 条) ・データ保護責任者(DPO)*を選任しなかった場合、または、その職や役務を尊重しなかった場合(第 37~39 条) |
企業の全世界年間売上高の4%、 または2,000 万ユーロのいずれか高い方(第 83 条(5)) | 個人データの処理に関する原則を遵守しなかった場合(第 5 条) ・適法に個人データを処理しなかった場合(第 6 条) ・同意の条件を遵守しなかった場合(第 7 条) ・特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第 9 条) ・データ主体の権利およびその行使の手順を尊重しなかった場合(第 12-22 条) ・個人データの移転の条件に従わなかった場合(第 44-49 条) ・監督機関の命令に従わなかった場合(第 58 条(1)および(2)) |
参照:日本貿易振興機構(ジェトロ):「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
ちなみに前述の通りGoogleが2018年5月のGDPR施行日に提訴されていますが、Googleの年間世界売上が約12兆円として、累計2)が適用されると、Googleに課せられる制裁金上限はなんと4,800億円となります。恐ろしい金額です。
まとめ
GDPRに対する賛否はありますが、その本質は「データの主権を巨大な企業から個人に返す」ことだと言われています。
現在、インターネットの世界ではGoogleやApple、Facebook、アマゾンなどの巨大企業が大きな力をもっています。彼らはビッグデータを保有し、もはや彼らなしではインターネットの利便性を保てないところまで来ています。イノベーションを起こすべきスタートアップ企業でさえ、あわよくば彼らの提供するプラットフォーム上で使えるサービスで成功することや、彼らに事業売却(バイアウト)することを目標にしています。
インターネットの利用者の巨大企業に対する依存度は加速度的に高まり、個人情報は彼らのデータベースに集約され、中央集権化が加速しているのです。
前述の提訴の主でもあるSchremsは、これらの巨大企業が「個人情報の使用を続けるために、ユーザーに「同意を強制する」戦略を進めていると批判しています。
また「これは極めて明快なことだ。同意は、サービスに必要なことではないのだから。すべてに対してユーザーはYESかNOかの選択権を持っているべきだ。例えばFacebookはこれまで同意しないユーザーのアカウントを強制ブロックしさえしてきた。つまり最終的にユーザーはアカウントを削除するか同意ボタンを押すかを選択しなければならなかった。それは自由な選択とは言えない。北朝鮮の選挙プロセスを思わせるようなものだ」ともコメントしています。
このようなデータの中央集権化が進み、GDPRなどの個人情報取扱いの定義が変わりつつある現代において、企業はなにをするべきなのでしょうか?
個人情報やデータを取り扱っているものの未対応の企業は取り急ぎにGDPR遵守に向けた現在の準備状況や今後の対応計画をしっかり立てることを検討されてはいかがでしょうか?現時点で対応が未完了であってもGDPRに関する説明責任を果たすことが出来れば即制裁金の対象になる可能性は低くなると考えられます。
またGDPR対応については、自社内において経営者主導で推進体制を構築することが重要ですが、自社内のみで推進することが困難である場合には、政府機関やセキュリティ会社等の外部有識者団体からのサポートを得たり、同業界での情報共有や連携を行いながら推進されることをお勧めいたします。