GDPRの衝撃(2)施行によって何が変わるのか?

市況
2018年5月24日 15時53分

「GDPR(一般データ保護規則)」とは、EUが2016年に制定したプライバシー保護の法律であり、2年間の周知期間を経ていよいよ2018年5月25日に施行される。

欧州に拠点のない日本企業などに対しても、制裁金を科すなど厳しい規則が適用される。たとえば、日本企業のウェブサイトをEU域内の利用者が閲覧し、その個人情報??自動収集されるIPアドレスさえも個人情報になる可能性がある??が適切に取り扱われていない場合には、全世界での年間売上高の4%もしくは2000万ユーロ(約25億円)のいずれか高い方が、制裁金として科せられる恐れがあるのだ。

これから企業価値を高めていくには、プライバシー保護対策、サイバーセキュリティ対策が絶対不可欠となってくる。

そこで、最新刊『GDPRガイドブック』(足立照嘉、ヘルマン・グンプ著、実業之日本社刊)の一部から、その概要を紹介したい。今回はシリーズ3回のうちの2回目となる。

■GDPRの施行によって何が変わるのか?

GDPRは、突然できた規則ではない。GDPRの原型となったのは、いまから23年前の1995年に制定され、世界中のプライバシーに関する規制の先駆けとなった「EUデータ保護指令」である。このルールについて、今一度振り返ってみよう。

EUデータ保護指令は、あくまで「Directive(指令)」であるため、原則として国内での関連法を整備する必要がありますよ、という意味合いのものであった。

「指令」をもとに、1998年までにEU加盟国では国内の法制度を整備することが要求された。そして、「指令」自体には法的拘束力がないため、法の執行については各加盟国に委ねられている。

ところが、その結果、データ保護法は加盟国毎に異なり、「31」ものデータ保護法が存在している。指令を国内法に導入する際の対応には、ある程度の柔軟性が許容されたため、法制度は国ごとに大きく異なっている。

そこで、加盟各国のデータ保護機関代表と欧州委員会司法総局データ保護課代表、欧州データ保護監察機関代表らによって構成される「第29条作業部会」が設けられ、加盟国のデータ保護法に調和をもたらすために、特定の問題に関して共通の解釈と分析を提供することに取り組んできた。

それでは、2018年5月25日以降、何が変わるのか?

まず、EUデータ保護指令は2018年5月24日をもって廃止とされ、加盟国ではGDPRに統一される。

ただし、ジャーナリズム・研究等の範疇については、加盟国が各国でのデータ保護法を立法することができるとされている。

また、加盟国の調和を増大させることにも重きを置かれており、第29条作業部会は「欧州データ保護会議(EDPB)」へと改組される。

適用対象範囲は明確にされ、EU域内に拠点を持たない企業も対象となる。

これまでは各加盟国に委ねられていた執行と制裁を増大し、法的拘束力のある規則となる。莫大な金額の制裁金制度が導入されることは今回の大きなポイントだ。

企業に対しては、データ保護指令にはなかった概念である「説明責任」を導入し、記録保持義務が強化され、データ保護責任者を任命しなくてはならない場合もある。

また、個人データの移転に係る要求事項や個人の権利侵害に係る通知義務などが具体化されている。

そして、本人の同意について立証できなくてはならない。

個人に対しては、これまでの権利を一層強化する。

忘れられる権利やデータ・ポータビリティに関する権利、ダイレクトマーケティングの拒否権、プロファイリングによる判断を受けない権利の明確化。16歳未満の個人データの取り扱い制限などが導入されている。

そして、技術の発展を反映して法の範囲を定める定義のいくつかも変更されている。

例えば、IPアドレスなどのオンライン識別子などの情報も個人情報になる可能性があることを明らかにしている。

また、仮名化もしくは匿名化された個人情報については、GDPRの範囲内に収まる可能性もあるとされている。いわゆるビッグデータへの適用に関係してくる。

また、GDPRには加盟国の国内法での拡張や定義が可能な50~60(カウントの仕方によって異なる)の「開放条項」が存在するため、加盟国ごとに別途条項を設けることができる。

開放条項が規則としてはあまりに多く、むしろ指令に近いという側面もあるため、目的であった統一が実現されていないのではとの見解を示す考えもある。

■著者

足立照嘉 (Teruyoshi Adachi)

サイバーセキュリティ専門家

欧州および北米を拠点に活躍し、2018年現在で30カ国以上でサイバーセキュリティ事業を展開。

主に航空宇宙産業のサイバーセキュリティに取り組んでおり、日本を代表する企業経営層からの信頼も厚い。

ヘルマン・グンプ(Dr.Hermann Gumpp)

データ保護専門家

ミュンヘン(ドイツ)を拠点に欧州で活躍し、ミュンヘン大学(LMU)や日系企業などのアドバイザーも務める。

東京の国立情報学研究所(NII)での研究開発経験もあり、日独産業協会(DJW)ITワーキンググループの中心人物である。

■協力

浅田 稔

(大阪大学大学院工学研究科 教授)

安藤類央

(国立情報学研究所 サイバーセキュリティ研究開発センター 特任准教授)

Dr.Jamie Saunders

(元・英国国家犯罪対策庁 国家サイバー犯罪局長・機密情報局長)

中川博貴

(株式会社フィスコIR 取締役COO・フィスコファイナンシャルレビュー編集長)

八子知礼

(株式会社ウフル 専務執行役員・IoTイノベーションセンター所長)

松田章良

(岩田合同法律事務所 弁護士)

《US》

提供:フィスコ

関連記事

人気ニュースアクセスランキング 直近8時間

人気ニュースベスト30を見る

特集記事

株探からのお知らせ

過去のお知らせを見る
米国株へ
プレミアム会員登録
すでに会員の方はログイン
株探プレミアムとは
PC版を表示
【当サイトで提供する情報について】
当サイト「株探(かぶたん)」で提供する情報は投資勧誘または投資に関する助言をすることを目的としておりません。
投資の決定は、ご自身の判断でなされますようお願いいたします。
当サイトにおけるデータは、東京証券取引所、大阪取引所、名古屋証券取引所、JPX総研、ジャパンネクスト証券、China Investment Information Services、CME Group Inc. 等からの情報の提供を受けております。
日経平均株価の著作権は日本経済新聞社に帰属します。
株探に掲載される株価チャートは、その銘柄の過去の株価推移を確認する用途で掲載しているものであり、その銘柄の将来の価値の動向を示唆あるいは保証するものではなく、また、売買を推奨するものではありません。
決算を扱う記事における「サプライズ決算」とは、決算情報として注目に値するかという観点から、発表された決算のサプライズ度(当該会社の本決算か各四半期であるか、業績予想の修正か配当予想の修正であるか、及びそこで発表された決算結果ならびに当該会社が過去に公表した業績予想・配当予想との比較及び過去の決算との比較を数値化し判定)が高い銘柄であり、また「サプライズ順」はサプライズ度に基づいた順番で決算情報を掲載しているものであり、記事に掲載されている各銘柄の将来の価値の動向を示唆あるいは保証するものではなく、また、売買を推奨するものではありません。
(C) MINKABU THE INFONOID, Inc.