2018年5月25日から、EU(欧州連合)は「EU一般データ保護規則(GDPR)」という個人情報保護規則を施行する。

 この名称を一見すると、 日本には関係の無い欧州限定の規則のようにも見えるかもしれないが、GDPRではEU居住者の個人データを処理・保持する組織すべてが対象になるため、日本の企業にとっても決して無関係ではない。違反した場合、制裁金として2,000万ユーロ(およそ26億円)も支払わなければならないケースも考えられる。

 GDPRとは、一体何なのか? そして、同規則に違反しないためにはどうすれば良いのだろうか?

※編集部追記:本記事はGDPRの施行前に執筆・公開したものです。GDPRは5月25日に予定どおり施行されました。

 

そもそもGDPRとは?

 GDPRとは「EU一般データ保護規則」のことで、”General Data Protection Regulation” の頭文字からきている。文字どおり、EUを含む欧州経済領域(EEA)域内で取得した個人データの保護と移転に関する規則のことで、欧州議会および欧州理事会によってEU官報に掲載され、2016年5月24日より発効している。

 そして、企業がその対応に費やすための2年間の移行期間を経て、いよいよ2018年5月25日より、欧州以外の企業も含めて行政罰を伴う適用が開始される。その企業が欧州に拠点を有しているかどうかは問われないため、日本の企業にも適用される。つまり、日本の企業も5月24日までに対応を済ませ、遵守していかなくてはならない規則なのである。

 

GDPRで何が変わる?

 GDPRを守らなければどうなるのか?

 まず、冒頭でも触れたとおり、「莫大」な制裁金を課される可能性がある。

 その金額は企業の場合、2,000万ユーロ(本稿執筆時のレートでおよそ26億円)、または前会計期間の全世界での売上高の4%。その「いずれか高いほう」が制裁金上限額の基準となる。

 場合によっては、1,000万ユーロ(同およそ13億円)または前会計期間の全世界での売上高の2%の、いずれか高いほうを基準とする場合もあるが、いずれにしても莫大な制裁金であることには違い無い。

 全世界で1兆円規模の事業を展開している企業であれば、2%でも200億円もの制裁金を課されることとなる。ちなみに、日本で売上高1兆円を超える企業は、本稿執筆時点で上場企業3,679社中145社確認できた。

 もちろん、常に行政制裁金が課せられるというわけではない。開示や監査といった調査、警告や遵守命令、認証の撤回などといった場合もある。

 しかし、調査を行うとなれば専門の調査会社や監査機関などへの依頼も必要となり、通常の業務に加えて相応のコストや対応、またその後の対応や対策が必要となってくる。企業や団体にとっては、いずれにしても大きな負担だ。

 加えて、GDPRでの特徴の一つとして、「プライバシー侵害時の報告が義務化」されたことがあげられる。個人情報漏洩などによって個人データの侵害が発生した場合、侵害を認識してから72時間以内に管轄監督機関へ通知することが義務付けられている。(第33条)

 もはやプライバシー侵害の事実を、公表するかどうかで悩んでいる猶予は残されていない。

 

これもGDPR違反?

 GDPRへのコンプライアンス対応を怠れば、原則としてGDPR違反となりやすい。それでは、どのような時に違反となりえるのだろうか?

 まず始めにおことわりしておきたいことは、GDPRの適用が事実特定的なものである故に、あらゆる側面および解釈が確定されているというわけではない。

 そのため、違反となりえるだろうと考えられる一例を、旧知の英国法弁護士に匿名を条件に教えてもらった。

■登場人物
・東京在住のBizコンパス編集者
・ロンドン在住の執筆者
・ロンドン在住の執筆者のアシスタント

 執筆者は原稿の入稿期限である金曜の昼までに、… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

足立 照嘉

足立 照嘉

サイバーセキュリティ専門家、投資家

国内外のIT企業の起ち上げから経営まで幅広く参画。千葉大学大学院在籍中に、IT系の事業会社を設立して以降、ニューヨークをはじめ、ロンドンやシンガポールを拠点に、2017年現在、30カ国以上で事業を展開。取引先には、Fortune Global 500にランクするような有名企業も多く含まれる。実地での経験も豊富で、サイバーセキュリティとサイバー攻撃に関して詳しい。著書に「サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実」(幻冬舎新書)。

関連キーワード

連載記事