欧州連合(EU)の「一般データ保護規則」(General Data Protection Regulation:GDPR)が、2年間の準備期間を経て、2018年5月25日に本施行される。しかし、適用対象となり得る企業などでは対応の準備が遅れているのが実情だ。
個人データやプライバシーの適切な保護を企業などに義務付けるGDPRは、EU域内に拠点があるどうかにかかわらず、EU域内に住む人々の個人に関わるデータを取り扱う全ての企業や組織が適用対象になり得る。違反した場合は、最大2000万ユーロ(約25億円)もしくは当該組織の全売上高の4%に相当する金額が罰則として科せられる。
EU域外の企業や組織にもGDPRの厳しい罰則が知られつつある一方、GDPR自体への理解や対応準備はあまり進んでいない。Symantecでアジア太平洋地域の政府・関連機関担当ディレクターを務めるBrian Fletcher氏は、これら地域におけるGDPRへの対応支援を手掛けるが、同氏の活動拠点のオーストラリアを含めて、「準備が完了した企業はまだ無い」と話す。
厳しい罰則の背景にあるもの
「GDPRへの対応で最も重要な点は、これが企業活動の抑制を目的にしたものではなく、データ活用を通じた価値創出を推進するための基本ルールであると理解することだ」(Fletcher氏)
Fletcher氏によれば、GDPRが制定される根底には「個人のプライバシーは尊重され、守られるべきもの」という意識が、基本的な権利として欧州社会に深く根付いていることがある。
欧州では数百年にわたる革命運動の歴史を通じて、「基本的人権」など現代社会で認められているさまざまな権利や意識が醸成されてきた。いまの欧州に暮らす人々にとって、プライバシーは当然の権利であり、権利の侵害を大きな脅威としてとらえる。
こうした歴史的な背景に加えて、近年の急速なITの普及は人々の生活をより便利した反面、個人の情報やプライバシーが侵害されるリスクを高めた。そこでGDPRは、欧州市民の権利を守りながら、ITのもたらす恩恵を享受できるようにするためのルールとして制定され、それゆえに、ルールに違反する行為に対しては厳しい罰則が規定されたわけだ。
つまり、GDPRへの対応とはプライバシーのルールを守ることであり、Fletcher氏は、あらゆる商品やサービスにおいてプライバシーが尊重されなければならず、それができないならビジネスに支障をきたすことになると指摘する。

個人に関わるデータの活用とプライバシーを脅かす危険への対応がGDPRの狙いといえる(資料提供:シマンテック)