フリーワード検索


タグ検索

注目キーワード
業種
目的・課題
専門家
国・地域

NRI トップ NRI JOURNAL 今、GDPR対応を急ぐべきなのか? ~国境なきデジタル時代の個人情報保護

NRI JOURNAL

未来へのヒントが見つかるイノベーションマガジン

今、GDPR対応を急ぐべきなのか? ~国境なきデジタル時代の個人情報保護

ICTメディア・サービス産業コンサルティング部 小林 慎太郎

2018/08/30

  • Facebook
  • Twitter
  • LinkedIn

欧州連合(EU)居住者の個人情報を扱う際に、「一般データ保護規則(GDPR)」が適用されることになりました。GDPRにどう対応したらよいかわからない、そもそもGDPRに対応しなければいけないのか、など多くの疑問や悩みをもつ日本企業が増えてきています。5月25日の施行に際して何か手を打つ必要があるのか、パーソナルデータの利活用に詳しい野村総合研究所(NRI)の小林慎太郎に聞きました。

EUでは個人情報に対する認識が日本と異なる

――GDPRができた経緯を教えてください。

ソーシャルメディアやスマートフォンなどが普及して、大規模に個人にまつわるデータが活用されるようになり、さらに近年では自動車の走行情報などのモノのデータまで分析されるなど、従来の個人情報保護の制度(1995年に採択)では想定していなかった形でデータ活用がされるようになりました。
それに伴い、一人ひとりが自分の情報を自分の意思でコントロールできることを重視する方向へと、個人情報保護に対する考え方が変化してきました。またEU単一市場政策を進めるに当たって、加盟国毎に個人情報保護の法律が異なることの弊害も大きくなっていました。こうした状況を踏まえ、全EU加盟国に直接適用されるルールとしてGDPRが2016年に採択され、2018年5月に施行という運びになりました。

――日本の個人情報保護法との違いはなんでしょう。

日本の個人情報保護法は「個人情報は事業者が守るべき義務」を中心に構成されており、とりわけ安全管理措置が重視される傾向があります。このため、2005年に個人情報保護法が適用された直後は、「個人情報を守らなければ」という過剰反応がおき、学校の連絡網や自治会名簿が作れないなどの事態が起きてしまいました。
これに対し、GDPRは「個人情報を保護するのは人権を守るため」という発想が強く、まず個人の権利を規定し、その上で事業者の果たすべき義務が続く構成になっています。事業者は個人情報を取り扱うに当たって、個人の権利を尊重するために必要な対応を自ら考え、行動することが求められています。この個人の権利の代表的なものに、忘れられる権利 ※1 やデータ・ポータビリティの権利 ※2 などがあり、ビッグデータビジネスへの牽制となっています。

データの越境移転や対象範囲の広さに注意が必要

――日本でEU居住者の個人情報を取り扱う場合にもGDPRは適用されるのですか。

そうです。その根底には、個人情報と人権はセットであり、個人情報が移転すれば、そこに含まれる人権も守られるべきだという考えがあります。これをEUが最初に主張したときは、実効性が疑問視されていましたが、個人情報を国外に移転することに対する規制は、今や世界の潮流となりつつあります。というのは、インターネットが普及して、個人情報が国境を越えて自由に移転するようになり、どの国も自国民の情報を守る必要性が高まっているからです。

――グローバルで情報をやり取りする日本企業は何に注意すべきでしょうか。

日本では、特定の個人を識別できない場合は個人情報とみなされませんが、EUでは、IoTなど、モノにひもづいたデータも個人との関係性が強ければ保護対象になります。罰金の上限が高く、日本の個人情報保護法では規定されていない個人の権利や事業者の義務があることにも留意が必要です。

幸い、2016年に施行された改正個人情報保護法は、GDPRを意識して作られています。そして日本の個人情報保護委員会がEU当局と交渉し、同委員会が策定するガイドラインに準拠すれば、EUから日本へ個人情報を移転できるようになります。個々の企業の負担はかなり軽減されることになるでしょう。しかし、それで安心してはいけません。保護対象となる個人情報の範囲の違い、尊重すべき個人の権利を念頭に置いて、包括的に対応していくことが大切です。

EUの新しい個人データ規制(GDPR)と違反時の罰金

――具体的にどのようなことを検討すべきですか。

まず、個人情報の日本への移転については、ガイドライン(前出)を参考に対応すること。データ削除や保存データの提供依頼に対応するなど、個人の権利へ対処できるよう社内ルールを整備し運用すること。リスクに応じて、データ保護責任者の設置、プライバシー影響評価など、説明責任を果たす仕組みを入れること。漏洩した場合、72時間以内に当局に通知できる体制を整えることなどです。

ある規則を一律に守ればいいというものではないので、自社がEUとの間でどのようなデータをやりとりするかを把握し、GDPRの趣旨に照らして、どこまで管理するか、どのリスクを受容し、どのリスクに対応するかを、各社でしっかりと考えていく必要があります。

デジタル時代のグローバル・インフラになっていくことを意識する

――日本企業の対応は進んでいますか。

企業によってバラツキがあり、特にEU向けに単発的に取引するECサイトや、現地拠点のない企業、中小企業などは対応が遅れているようです。EU居住者を受け入れるインバウンド事業で個人情報を取り扱う企業も気を付けないといけません。

ただし、GDPR対応が遅れたからといって、慌てて形だけ整えようとすることはお勧めしません。施行規則ができていないEU加盟国も多い状況ですので、先ほどの検討事項を参照しつつ、自社のグローバル戦略に基づいて必要な取り組みを見極めて対処していけばいいでしょう。

GDPRは厳しすぎると感じるかもしれませんが、グローバルで個人情報を保護する仕組みはデジタル時代に求められる基盤です。そう考えれば、GDPR対応は一過性のものではなく、長期的に腰を落ち着けて取り組むべき活動になるはずです。そしてその活動は、きっと各企業の繁栄につながっていくものと思います。

  • 1 パーソナルデータの消去を要求できる権利。斬新な発想と情緒的なネーミングで注目を集めたが、企業にとっては対処が難しい。グーグルなどの検索サービスで、対応が先行している。
  • 2 自身のパーソナルデータを持ち運びできるように、機械判読可能な形式で提供してもらうことを企業に要求できる権利。巨大IT企業によるパーソナルデータの集積を解消し、個人の選択の自由と市場活性化が権利創設の背景にある。
  • Facebook
  • Twitter
  • LinkedIn
NRIジャーナルの更新情報はFacebookページでもお知らせしています

お問い合わせ

株式会社野村総合研究所
コーポレートコミュニケーション部
E-mail: kouhou@nri.co.jp

ACCESS RANKING