本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。
「GDPR」とは?
日本で改正個人情報保護法が施行されたように、欧州では2018年5月に「GDPR」が施行される。GDPRは「General Data Protection Regulation」の略で、「一般データ保護規則」とも呼ばれる個人情報保護の法律だ。その内容は、端的に言えば「個人データ」の「処理」と「移転」に関する法律ということになる。
対象を、情報に紐づく個人である「データ主体」、個人データ処理の目的と手段を決定する「管理者」、管理者を代行して個人データの処理を行う「処理者」に分けている。主に「個人データ」の「処理」と「移転」について定めた法律となっている。日本から遠く離れた欧州の法律であるが、ビジネスのグローバル化やインターネットの普及により、日本でもEUの個人情報を扱う可能性があるため、対応が必要とされている。
現在は、EU加盟国それぞれにデータ保護規則が存在しており、その内容は国によって大きく異なっている。それを2018年5月25日から、GDPRというEU標準のデータ保護規則に統一する形だ。その目的は、「個人データの保護に対する権利という基本的人権の保護」としている。
GDPRでは、特にEU内に事業拠点がなくても適用される「域外移転」を厳しく規制していることが特徴だ。「域外」とは、欧州経済領域EEA(EU加盟国にノルウェー、アイスランド、リヒテンシュタインを含める)以外である。個人データの域外移転は原則として禁止されており、域外移転が可能なのは、EUがデータの保護措置が「十分なレベル」にあると認められる国のみとなっているが、2017年11月現在で日本はこれに含まれていない。
域外適用には、「プライバシー・バイ・デザイン」「オプトイン原則」「個人情報漏えい時の通知義務」「データ持ち運びの権利」「忘れられる権利」「罰則の強化」といった規制がある。EU外にある企業などが、EEA内に居住している人から個人情報を収集、保管する場合などに適用される。
特に気をつけなければならないのが、「罰則の強化」だ。以前の法律(EUデータ保護指令)よりも制裁金が高額になっている。制裁金は2種類あり、例えば、「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」は、企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方が適用される場合がある。また、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方となっている。2000万ユーロは、日本円に換算すると約26億円にもなる。