     |
米紙サイト・EUで一部閲覧不能に!
.
日本企業は対応遅れ!
.
.
欧州連合(EU)で5月25日、個人情報の保護を大幅に強化する「一般データ保護規則」(GDPR)が施行された。個人情報の域外への持ち出しなどが原則禁じられる。違反すれば最大で世界売上高の4 %または2000万ユーロ(約26億円)のうち高い方を罰金として科す「世界一厳しい」(米紙)内容。日本企業が罰金を科される恐れもあり、新たな経営リスクになりそうだ。
.
保護の対象はEU域内とノルウェーなど周辺3カ国に暮らす個人。域外企業は域内に拠点がなくても、対象地域に商品やサービスを提供すれば適用される。個人情報を扱うには本人の明確な同意が必要で、情報の消去なども求められる。
.
情報の域外への持ち出しは米国など一部の国・地域を除いて原則禁止。日本は持ち出しできるようEUと協議中だ。情報流出時には72時間以内に当局に報告する義務がある。
.
欧州委員会は「デジタル化した将来は信頼によってのみ築かれる」と強調。EUの規則が世界標準となる可能性もある。
.
国際的な情報システム監査団体ISACAが施行1週間前に公表した調査結果によると、世界の調査対象6000社のうち、準備ができたとの回答は29%だった。
.
EUで施行されたGDPRは、欧州で事業展開する日本企業にも適用され、情報流出などの違反があった場合は巨額の罰金が科せられる。しかし、多くの日本企業は内容を十分把握しておらず、対応に手間取れば国際競争力の低下を招く。
.
三菱商事は「欧州拠点と連携し、適用対象業務の洗い出しや契約の整備など、必要な対応は終えた」と説明。花王は平成28年後半に対応を開始し、社内ルールを昨年整備した。
.
だが、こうした対応済み企業は少数だ。大手企業でも現時点では制度の周知活動が中心だ。パナソニックが対応マニュアルを作成し、関連部門に社内イントラネットで伝達したほか、アサヒグループホールディングスも国内関連部門の担当者への説明会を4月末に初めて開いた。
.
日本たばこ産業(JT)も各種対策の前提となるデータの所在調査やリスクに対するアセスメント(影響評価)を終えた段階で、本格対応はこれからだ。
.
日本企業の対応遅れは、トレンドマイクロの調査でも明白だ。
4月に企業首脳を対象にしたアンケートで、GDPRの「内容を十分に理解している」との回答は10%にとどまり、「名前だけ知っている」「知らない」との回答が66.5%を占めた。内容を理解している企業首脳も「対応済み」との回答は10%にとどまった。
.
こうした中、多くの企業は、EU欧州委員会が「個人情報の扱いが十分な水準と認める国・地域」に日本を含めてもらうことを期待している。経団連によると、「日本の個人情報保護委員会と欧州委が協議を進めており、近く合意できる見通し」という。合意できれば、EU域外への個人情報の持ち出しが認められるため、日本企業のGDPR対応の手間は大幅に減る可能性がある。
.
また、GDPRを商機とする動きもある。インターネットイニシアティブ(IIJ)は、GDPRで選任が義務づけられる個人情報の管理体制を監督するデータ保護責任者(DPO)の業務請負などで問い合わせが増えているという。
.
国際的な情報システム監査団体ISACAが施行1週間前に公表した調査結果によると、世界の調査対象6000社のうち、準備ができたとの回答は29%だった。
.
個人情報保護を大幅に強化した欧州連合(EU)の「一般データ保護規則」(GDPR)が施行された5月25日、有力紙ロサンゼルス・タイムズなど一部米紙のサイトがEU域内で閲覧できない状態になった。新規則への対応が間に合わなかったとみられる。
.
ロサンゼルス・タイムズはサイト上で「大半の欧州諸国で現在利用できない」とし、新規則に直接言及していないが、法令順守のため対応を継続中と説明。同じグループのシカゴ・トリビューンのサイトなども同様の状況になった。別の地方紙は「GDPR」のため、現時点でアクセスできない」と明示した。
.
一方、利用者には個人情報の取り扱いに必要な同意を確認する
メールが続々と寄せられ、一部では同意を強いるような内容が新
規則に違反するとして、米交流サイト大手フェイスブックなどを
司法当局に訴える動きも出ている。
.
.
一般データ保護規則に関する解説記事が週刊ダイヤモンド6月2日号(現在販売中)に掲載されている。
.
.
記事目次
.