【全6回シリーズ3/6 新時代のデータ保護】

2018年5月25日から施行されたEU一般データ保護規則(GDPR)。EU圏内の企業と取引のない日本企業の多くは「それほど影響はない」ととらえられていることが多い。しかしGDPRは、EU企業だけでなくEU市民の個人情報も保護対象としており、違反企業に対する罰金も日本国内のルールよりもはるかに高い。そうなると国内の旅行・観光企業や医療機関、ネットサービス企業なども「対岸の火事」とはいえなくなる。今回は、施行後のGDPRがビジネスにどのような影響を及ぼすのかについて、Dell EMCの2人の専門家に聞いてみた。

 

Alex Lei

Dell EMC

VP,Data Protection Solutions,APJ

 

Yeong Chee Wai

Dell EMC

Dirctor,Head of Presales

Data Protection Solutions,Asia Pacific&Japan

 

 

2018年5月25日からEU一般データ保護規則(GDPR)が施行されました。GDPRは、EUに拠点を持つ企業だけでなく、EU圏外であってもEU市民の個人データを扱いビジネスをしている企業や組織さえ適用範囲とされます。

 

GDPRそのものについて基礎知識がある人は少なくありませんが、例えば、EUから日本にやってきた旅行者の個人情報についても、GDPRの適用範囲であるということはあまり知られていません。

 

「GDPRは、欧州企業と取引のある企業が対応するもので、うちはそういう取引はないから大丈夫」と考えている企業関係者は多いようですが、EUに居住している人の個人情報も対象になるため、ECサイトや国内ビジネスなどでも個人情報を扱う場合は、要注意です。

 

EU諸国から日本にやってくる観光客は年々増加しています。また、日本企業のITサービスを利用するEU居住者も多いはずです。GDPR施行後は、おそらく個人情報の取り扱いについて、日本でビジネスをする企業でさえ、これまで以上に詳細な説明を求められる可能性があります。

 

このときに「日本ではこういうことになっているから」とか「ほかの外国人の人たちにはそこまで説明していない」といったローカルルールは通用しません。個人情報の保護について、さまざまな質問に対して素早くわかりやすい形で説明でき、納得してもらわなくてはなりません。

 

例えば、EU居住者が日本で病気になり、診療を受けた場合、本人の個人情報が記録されることになりますが、この場合でも、対象になりえます。つまり一般の企業ではない法人や組織さえGDPRの対象になるのです。

 

●GDPRに組み込まれている「right to be forgotten」

 

GDPRで特に注目されるのが、その罰則規定です。違反があった場合、罰金の額がグローバルの売上高の4%にもなることがあります。GDPRの中身が明らかになるにつれ、米国をはじめ、オーストラリア、シンガポール、香港など欧州との取引がさかんな国、地域で関心が高まり、対策が講じられてきました。日本では、現在でも一部の企業、業界でしか関心が高まっていないように見受けられます。

 

もちろん、日本にも個人情報保護法をはじめ、さまざまなデータ関連の規制はあります。しかしGDPRでは、right to be forgotten(忘れられる権利)も組み込まれているので、「保存しているデータを削除してほしい」と依頼されれば対応しなくてはいけません。

 

つまり、安全にデータを保管するだけでなく、たとえ古いデータであっても、迅速に検索して見つけ出し、削除し、その証跡を提示できなくてはならないのです。

 

日々増え続けるデータを管理するだけでも大変なのに、たとえば5年前に取得した個人データを探し出し、削除するというのは、もし全保管データから迅速に検索する仕組みを持っていなければ、かなり骨の折れる作業となるでしょう。

 

もし、「個人情報を削除してほしい」というEU居住者からの依頼に、時間が経過しても対応できなければどうなるでしょう。GDPR規定に基づく罰則という直接的な制裁に加え、SNSで対応の不備について拡散される可能性もありますし、訴訟を起こされる可能性もあります。

 

●EUだけでなくグローバルで広まる可能性

 

わたしたちは、データ保護に関する専門家として日本を含むアジア太平洋地域で仕事をしています。その専門家たちの間では、GDPRが、事実上データ保護規制の新しいグローバルスタンダードとして、広く適用されるようになるのではないかという考え方が、一般的になってきました。

 

このような考え方が、施行される前の段階から広がりつつあるというのは、珍しいことかもしれません。しかし、GDPRでEU居住者の個人情報が守られるのなら、全世界の人たちの情報も同様のルールで守るようにしてほしい、という声が生まれるのはごく自然な流れだと思います。

 

日本でも、個人情報についてGDPRに準じた考え方や判例が今後出てこないとも限りません。IDC社の調査では、日本を含むアジア太平洋地域において、日本はプライバシー侵害に対する罰則の重さが2番目に低い国とされています1。ローカルルールを基準としていると、GDPR施行後の個人情報の漏えい事案などでの賠償額は、これまで以上に、想定を超える大きなリスクになると考えられます。

 

GDPRで扱うのは個人情報だけではありませんが、重要なファクターであり、最も関心を集めている分野です。今後、欧州企業との取り引きの有無にかかわらず企業全般で、GDPRへの対応が求められるようになるでしょう。

 

Dell EMCでは、国内だけでなくグローバルでGDPRへの対応についての最新情報を集め、お客様に正しいデータ保護の指針を策定するお手伝いができるよう体制を整えています。

 

GDPRのルールが広まっていく時代では、データをただ保護するだけでなく、迅速にコントロールできる能力がますます重要になってきます。企業だけでなく、人の交流も対EUでは活発化していくことでしょう。組織の規模にかかわらず、あらためて、データの活用プロセスをリスクの側面から見直す必要があると考えます。

 

《取材雑感》

データ保護に関する専門家によれば、GDPRはEU圏内に籍を置く企業・個人についてだけでなく、事実上、データ保護に関するグローバルスタンダードとなる可能性があるという。ということは、国内企業同士の取引においてもGDPR準拠のデータ保護体制が求められるようになることは必至だ。今後は、そうしたことを踏まえ、社内システムのデータ保護ルールおよびポリシーを再点検する必要が出てきそうだ。

 

聞き手・構成 ITジャーナリスト 大西高弘

 

 

注1:IDC Data Risk Management Barometer 調査
barometer | Dell EMC Japan

 

【シリーズ:新時代のデータ保護】

1回:DellEMCDNAを融合させたData Domainシリーズの最新版「Data Domain DD3300」の魅力とは?

2回:最新のデータ保護アーキテクチャを適正なコストで構築するための秘訣

3回:今後、データ保護ルールの新デファクトスタンダードになる可能性もあるEU一般データ保護規則(GDPR)

4回:サイバー対策の最新トレンド「サイバー復旧」とは何か?

5回:近日公開予定

6回:近日公開予定