第35回 「データ保護」は何を保護するのか?
個人の権利を守るGDPR
「データ保護」と「IT セキュリティー」を混同している人は多いかもしれない。その理由は「データ保護」という言葉が、コンピュータ上の「データ」を不正アクセスから「保護」するものであるかのような印象を与えてしまうせいだろう。しかし実際には、データ保護の「保護」の対象はデータではなく、人間だ。監視、差別、不正操作、なりすまし、詐欺やそのほかの犯罪から人々を守ることがデータ保護の基本理念なのである。
世界中で大量のデータが収集、処理、転送される今日において、高度な技術や巨大企業を前に個人の力はあまりに小さく思われる。そんな個人の権利を強化すべく導入されたのが、欧州連合(EU)における「EU一般データ保護規則(GDPR)」だ。
GDPRの画期的なところは、この規則のおかげで、誰もが企業や組織に個人データについて照会できるようになったことである。例えば、どのような個人データ(自分のデータ)が、何の目的で、いつまで保存されているのか、そのデータは転送されるのか、転送されるとすれば誰に渡されるのか……などの問い合わせをすることが可能だ。
ほかにも、GDPRの施行によって個人データの削除や修正の要求などもできるようになった。さらに、こうした問い合わせを受けた側は、4週間以内に対応しなければならない。もし対応が遅れた場合には、相談者は管轄のデータ保護監督機関に連絡することができ、監督機関は該当企業に制裁を科すことが可能となっている。
GDPRの施行で変わったこと
企業からすれば、記録義務や技術的・組織的措置の実施、IT セキュリティー、暗号化や安全なデータ消去プロセスの設定など、これまで以上の取り組みが求められるため、業務の増加を意味する。当初はGDPRに対して懐疑的な見方があったものの、今ではすっかり定着した。むしろGDPRの施行により多くの企業がIT セキュリティーを改善できたのみならず、内部プロセスの効率化にも成功していることが分かっている。さらに、不要となったデータを削除することで、保存容量の確保やコスト削減にも役立っているのだ。つまりGDPRは、企業とデータ主体(個人)双方にとってWin-Winの制度なのである。
日本でも、すでに個人情報保護法はGDPRと同等とみなされるよう調整されている。また、そのほかの多くの国でも、GDPRに倣って国民の保護を強化する動きが進行中だ。個人データの取扱いについて不安に思うことがあれば、遠慮なく責任機関(個人データを提供した相手)に問い合わせて、自分のデータが適切に処理されているか確認しよう。まさに、ドイツのことわざ「信頼は良し、検査はなお良し(Vertrauenist gut, Kontrolle ist besser.)」である。
GDPRは、企業とデータ主体(個人)双方にとってWin-Winの制度