第10回 EU一般データ保護規則（GDPR）について 2

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

「General Data Protection Regulation（一般データ保護規則）」は、現在20年間に渡り使用されている個人情報保護法の劇的な改編であり、2018年5月25日より欧州連合（EU）において適用される予定だ。今回はそのGDPRについて前回に引き続き説明していこう。

GDPRを理解するためのポイント（➏～➑）

➏ データ保護責任者（Data Protection Officers）

大規模なデータ管理や大容量の重要データの処理、または犯罪に関するデータ等を主に扱うような企業は、データ保護責任者を指名しなければならない。データ保護責任者は、雇用主の指示を受けることなく独立して任務を遂行しなければならない。（第37条）

➐ 設計およびデフォルト設定によるデータ保護

個人データを利用した各新サービスや事業プロセスにおいて、十分なセキュリティ対策が適切に実施されることを証明する義務を負い、その順守は管理される必要がある。新規ユーザーが新しい商品やサービスを利用するたびに、最も厳しいプライバシー設定が自動的に適用される必要がある。（第25条）

➑ 国際間のデータ移転規制の強化

EU加盟国から欧州経済圏（EEA＝The European Economic Area）外への個人データの移転（例えば、データセンターやEEA外からのリモートアクセス）は規制が強化される。以前のように「十分なデータ保護レベル」がデータ受信者もしくは受信国から保証されなければならない。最重要階層のデータ侵害に関しては、最大2000万ユーロまで、もしくは4%までの全体年間収入という重い罰金が課される。

EU外諸国の場合について

特にEU外諸国にとって最も大切なことは、国際間のデータ移転規制における侵害は最重要階層のデータ侵害とみなされることだ。結果としてGDPRはデータ保護においてEU国民の権利を強化することになるが、EU外諸国にとってはさらに厳しいデータ保護基準が適用されることを意味する。これは、ヨーロッパで事業を展開している日本企業や市場調査の実施のみでさえも大きく影響を受けることとなる。では、実際にEU以外の国の企業にはこの新しい法律はどのように働くのだろうか？それは各企業が次のいずれかに当てはまるかどうかで決まる。

GDPR遵守義務の対象

● EU加盟国に物品またはサービスを提供している
● EU加盟国に居住する人々の行動をトラッキング、もしくはモニタリングしている
● EU加盟国の個人情報から生成されたデータを使用

上記どれか一つでも当てはまる場合は、その企業は新しい法律を遵守する必要がある。たとえその企業自体が欧州連合内で事業登録をしていなくても、そしてデータの操作や保存をEU外に外注していたとしても関係なく、法律違反とみなされ2000万ユーロまで、もしくは4%までの全体年間収入という重い罰金が課せられることとなる。デジタル処理とデータのトラッキングは、現代においてどの企業でも基本となる操作であるため、今回の新しい法律はEU 間だけでなく、グローバルに展開しているビジネスにも影響を及ぼすことが考えられる。しかしながら企業はこの法律について十分に理解していないのが現状である。