EU・個人情報保護を強化:世界一厳しい規則!

.
米紙サイト・EUで一部閲覧不能に!
.
日本企業は対応遅れ!
.
.
欧州連合(EU)で5月25日、個人情報の保護を大幅に強化する「一般データ保護規則」(GDPR)が施行された。個人情報の域外への持ち出しなどが原則禁じられる。違反すれば最大で世界売上高の4 %または2000万ユーロ(約26億円)のうち高い方を罰金として科す「世界一厳しい」(米紙)内容。日本企業が罰金を科される恐れもあり、新たな経営リスクになりそうだ。
.
保護の対象はEU域内とノルウェーなど周辺3カ国に暮らす個人。域外企業は域内に拠点がなくても、対象地域に商品やサービスを提供すれば適用される。個人情報を扱うには本人の明確な同意が必要で、情報の消去なども求められる。
.
情報の域外への持ち出しは米国など一部の国・地域を除いて原則禁止。日本は持ち出しできるようEUと協議中だ。情報流出時には72時間以内に当局に報告する義務がある。
.
欧州委員会は「デジタル化した将来は信頼によってのみ築かれる」と強調。EUの規則が世界標準となる可能性もある。
.
国際的な情報システム監査団体ISACAが施行1週間前に公表した調査結果によると、世界の調査対象6000社のうち、準備ができたとの回答は29%だった。
.
EUで施行されたGDPRは、欧州で事業展開する日本企業にも適用され、情報流出などの違反があった場合は巨額の罰金が科せられる。しかし、多くの日本企業は内容を十分把握しておらず、対応に手間取れば国際競争力の低下を招く。
.
三菱商事は「欧州拠点と連携し、適用対象業務の洗い出しや契
約の整備など、必要な対応は終えた」と説明。花王は平成28年後半に対応を開始し、社内ルールを昨年整備した。
.
だが、こうした対応済み企業は少数だ。大手企業でも現時点では制度の周知活動が中心だ。パナソニックが対応マニュアルを作成し、関連部門に社内イントラネットで伝達したほか、アサヒグループホールディングスも国内関連部門の担当者への説明会を4月末に初めて開いた。
.
日本たばこ産業(JT)も各種対策の前提となるデータの所在調査やリスクに対するアセスメント(影響評価)を終えた段階で、本格対応はこれからだ。
.
日本企業の対応遅れは、トレンドマイクロの調査でも明白だ。
4月に企業首脳を対象にしたアンケートで、GDPRの「内容を十分に理解している」との回答は10%にとどまり、「名前だけ知っている」「知らない」との回答が66.5%を占めた。内容を理解している企業首脳も「対応済み」との回答は10%にとどまった。
.
こうした中、多くの企業は、EU欧州委員会が「個人情報の扱いが十分な水準と認める国・地域」に日本を含めてもらうことを期待している。経団連によると、「日本の個人情報保護委員会と欧州委が協議を進めており、近く合意できる見通し」という。合意できれば、EU域外への個人情報の持ち出しが認められるため、日本企業のGDPR対応の手間は大幅に減る可能性がある。
.
また、GDPRを商機とする動きもある。インターネットイニシアティブ(IIJ)は、GDPRで選任が義務づけられる個人情報の管理体制を監督するデータ保護責任者(DPO)の業務請負などで問い合わせが増えているという。
.
国際的な情報システム監査団体ISACAが施行1週間前に公表した調査結果によると、世界の調査対象6000社のうち、準備ができたとの回答は29%だった。
.
個人情報保護を大幅に強化した欧州連合(EU)の「一般データ保護規則」(GDPR)が施行された5月25日、有力紙ロサンゼルス・タイムズなど一部米紙のサイトがEU域内で閲覧できない状態になった。新規則への対応が間に合わなかったとみられる。
.
ロサンゼルス・タイムズはサイト上で「大半の欧州諸国で現在利用できない」とし、新規則に直接言及していないが、法令順守のため対応を継続中と説明。同じグループのシカゴ・トリビューンのサイトなども同様の状況になった。別の地方紙は「GDPR」のため、現時点でアクセスできない」と明示した。
.
一方、利用者には個人情報の取り扱いに必要な同意を確認するメールが続々と寄せられ、一部では同意を強いるような内容が新規則に違反するとして、米交流サイト大手フェイスブックなどを司法当局に訴える動きも出ている。
.
.
一般データ保護規則に関する解説記事が週刊ダイヤモンド6月2日号(現在販売中)に掲載されている。
.

.
記事目次

.