Bizコンパス

制裁金26億円!?EUの個人情報保護法にどう対応する?
2018.03.19

日本も例外じゃない!5月スタート「GDPR」とは何か前編

制裁金26億円!?EUの個人情報保護法にどう対応する?

著者 足立 照嘉

 2018年5月25日から、EU(欧州連合)は「EU一般データ保護規則(GDPR)」という個人情報保護規則を施行する。

 この名称を一見すると、 日本には関係の無い欧州限定の規則のようにも見えるかもしれないが、GDPRではEU居住者の個人データを処理・保持する組織すべてが対象になるため、日本の企業にとっても決して無関係ではない。違反した場合、制裁金として2,000万ユーロ(およそ26億円)も支払わなければならないケースも考えられる。

 GDPRとは、一体何なのか? そして、同規則に違反しないためにはどうすれば良いのだろうか?

※編集部追記:本記事はGDPRの施行前に執筆・公開したものです。GDPRは5月25日に予定どおり施行されました。

 

そもそもGDPRとは?

 GDPRとは「EU一般データ保護規則」のことで、”General Data Protection Regulation” の頭文字からきている。文字どおり、EUを含む欧州経済領域(EEA)域内で取得した個人データの保護と移転に関する規則のことで、欧州議会および欧州理事会によってEU官報に掲載され、2016年5月24日より発効している。

 そして、企業がその対応に費やすための2年間の移行期間を経て、いよいよ2018年5月25日より、欧州以外の企業も含めて行政罰を伴う適用が開始される。その企業が欧州に拠点を有しているかどうかは問われないため、日本の企業にも適用される。つまり、日本の企業も5月24日までに対応を済ませ、遵守していかなくてはならない規則なのである。

 

GDPRで何が変わる?

 GDPRを守らなければどうなるのか?

 まず、冒頭でも触れたとおり、「莫大」な制裁金を課される可能性がある。

 その金額は企業の場合、2,000万ユーロ(本稿執筆時のレートでおよそ26億円)、または前会計期間の全世界での売上高の4%。その「いずれか高いほう」が制裁金上限額の基準となる。

 場合によっては、1,000万ユーロ(同およそ13億円)または前会計期間の全世界での売上高の2%の、いずれか高いほうを基準とする場合もあるが、いずれにしても莫大な制裁金であることには違い無い。

 全世界で1兆円規模の事業を展開している企業であれば、2%でも200億円もの制裁金を課されることとなる。ちなみに、日本で売上高1兆円を超える企業は、本稿執筆時点で上場企業3,679社中145社確認できた。

 もちろん、常に行政制裁金が課せられるというわけではない。開示や監査といった調査、警告や遵守命令、認証の撤回などといった場合もある。

 しかし、調査を行うとなれば専門の調査会社や監査機関などへの依頼も必要となり、通常の業務に加えて相応のコストや対応、またその後の対応や対策が必要となってくる。企業や団体にとっては、いずれにしても大きな負担だ。

 加えて、GDPRでの特徴の一つとして、「プライバシー侵害時の報告が義務化」されたことがあげられる。個人情報漏洩などによって個人データの侵害が発生した場合、侵害を認識してから72時間以内に管轄監督機関へ通知することが義務付けられている。(第33条)

 もはやプライバシー侵害の事実を、公表するかどうかで悩んでいる猶予は残されていない。

 

これもGDPR違反?

 GDPRへのコンプライアンス対応を怠れば、原則としてGDPR違反となりやすい。それでは、どのような時に違反となりえるのだろうか?

 まず始めにおことわりしておきたいことは、GDPRの適用が事実特定的なものである故に、あらゆる側面および解釈が確定されているというわけではない。

 そのため、違反となりえるだろうと考えられる一例を、旧知の英国法弁護士に匿名を条件に教えてもらった。

■登場人物
・東京在住のBizコンパス編集者
・ロンドン在住の執筆者
・ロンドン在住の執筆者のアシスタント

 執筆者は原稿の入稿期限である金曜の昼までに、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

足立 照嘉

足立 照嘉

サイバーセキュリティ専門家、投資家

サイバーセキュリティ企業の経営者として 15 年以上の経験を持ち、国内外の通信会社や IT 企業などのサイ バーセキュリティ事業者に技術供給およびコンサルティングを提供。日本を代表する企業経営層からの信頼も厚い。また、サイバーセキュリティ関連技術への投資や経営参画なども行なっている。大阪大学大学院工学研究科共同研究員。メディア出演や雑誌・ウェブへの執筆による啓発を行なっており、著書である『サイバー犯罪入門』『GDPR ガイド ブック』は、いずれも Amazon ランキングで 1 位を獲得。

関連キーワード

SHARE

関連記事

注目のSaaSセキュリティ対策「CASB」とは

2018.03.26

クラウド利用のためのセキュリティソリューション

注目のSaaSセキュリティ対策「CASB」とは

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

企業の過半数は気付けない!サイバー攻撃対策最前線

2016.11.16

サイバー攻撃から企業を守るために今何をすべきか後編

企業の過半数は気付けない!サイバー攻撃対策最前線

人材不足、経営者意識改革…セキュリティの課題解決

2016.12.14

解決策がここにある!IT部門のお悩みスペシャル第2回

人材不足、経営者意識改革…セキュリティの課題解決