EU一般データ保護規則（GDPR）

なんじゃらホイ（死語）って感じだと思います。

GDPR の正式名称は、General Data Protection Regulation です。日本語でざっくり説明しますと、欧州連合（EU）による個人データ等の保護に関する一般的規則です。

ここで言う、「個人データ」というのは、従来の「個人情報」とは違います。氏名、住所、電話番号のほか、メールアドレス、顔写真、ウェブへの書き込み、使用したコンピュータのIPアドレスなど、個人と関連するあらゆる情報は個人データであるというのが欧州委員会の見解です。これは、ほとんどのデータは個人データであり、GDPRによる規制対象となりうることを意味します。

GDPRは、2016年4月にEUで制定され、2年間の移行期間を経て、2018年5月からの本格スタートを目前に対応が急がれている個人データの保護に関する規則です。GDPRが本格スタートする2018年5月まで残り半年と僅かというところですが、日本国内ではまだ一部の専門家のような人達にしか知られておりません。

GDPRでは、個人データを保管する場合には必ず顧客に同意を求め、個人情報を管理する際にはデータ保護最高責任者を設置し、保管されたデータには暗号化などを施し、データ主体である個人本人からデータの消去を求められたらそれに応じ、第三者による不正アクセスなどのデータ侵害が発生した際には72時間以内に監督機関に通知する義務を担い、これらの規則に反した場合には最悪ケースは20,000,000ユーロ（1ユーロ130円とした場合、およそ25億円）、または前会計期間の売上高の4%のうちいずれか大きい方を過料（罰金）として支払う義務を負うこととされています。

一方で、GDPRの要件を十分に満たすことができれば、データをEU圏外に持ち出すことができるようになり、一定の制限はありますが、学術やビジネスの世界においては様々な形の個人情報をデータとして再利用することが可能となります。世の中ではデジタル情報の取り扱いが益々拡大しており、オープンデータやビッグデータ分野等でのデータ活用などが今後将来に渡ってより活発化することを前提として踏まえると、GDPRのような規則の登場は必然的な世の中の流れであるとも考えられます。

GDPRが少し厄介なのは、EU域外に拠点を置いている組織にも適用されるものと定義されているところです。GDPRでは、EU域内の自然人を対象とする個人データを管理するあらゆる企業に対して、EUはEUの個人データの保護に関する規制を全世界的に強制適用するというスタンスを取っています。

「EU域内の自然人」を対象とするということは、商用・非商用は問わず、EU域内の国で一般的に使用される言語または通貨を使用していること、あるいはEU域内の顧客を意図としたかのような言及が公式サイトやホワイトペーパー上に記載されているサービスは、GDPRの適用対象になりえます。

さて、EU域内の言語なんてフランス語とかドイツ語とかオシャレ言語でしょ！ウチは関係ないよ！などと安心するわけにもいきません。

英語はEU主要国であるイギリスで使われている立派なEU域内の言語の一つです。英語で説明文を掲載しているような商品やサービスとなってくると、みなさんにもいくつか心当たりが出てくるのではないかなと思います。

しかし、当のイギリスに関しては、2019年3月29日をメドにEUから脱退しようと交渉を進めている、いわゆる「Brexit＝ブレグジット」問題があります。とはいえ、本当にイギリスがEUから脱退するのかどうかは現時点ではわからないので、英語に関しては最終的にどう転ぶかは誰にもわかりません。

そもそも、これまでもEUは個人データの保護に対しては厳格な性格を持つ共同体でした。原則として、EU域内の企業が保有するデータはEU域外の各国に保管や移設をしてはならないという指令が1995年から施行されており、しかもEU域内のそれぞれの国々でルールの内容が異なっており、EU域外に拠点を持つ企業がEU向けのビジネスを展開しようと思ったら、それぞれのEU各国の認証を一つずつ取らないといけないという状況でした。 （EUデータ保護指令）

しかし、EUデータ保護指令を発展させたGDPRでは、個人データの保護に関する規則をより厳格化する一方で、その規則をEU全体で統一化することで個人データを第三国へ移設しやすくしたり、再利用しやすくできるようにしたというのが経緯です。

日本でも、近年では個人情報保護に関するポリシーが段々と普及しはじめてはいますが、GDPRほどの要件を十分に満たすには至っていません。このようなセキュリティに関する専門家の数も多くはありません。もちろん、GDPR自体にも多くの課題が残されていることも事実です。事実、GDPRはこれまでに数千もの修正を提案されています。

いや、しかしそもそも、EU域内の人がウチのサービスに個人データを登録して利用しているかどうかなんてすぐにはわかんないよって会社がほとんどではなかろうかとも思います（笑）

個人的には、GDPR対応のクラウドサービスが続々と今後登場してくると思います。中小企業であれば、そういったサービスに会社のシステムを搭載、あるいは移設してしまうのがてっとり早く、最終的に安く済むとも思います。また、中小企業向けには、日本貿易振興機構（JETRO）から「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」が公開されていますので、これもチェックしておくとよいでしょう。

「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」

https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html

一部の中規模事業者、あるいは大規模事業者であれば、既存システムの改修などが必要になるかもしれません。詳しくは担当の監査法人などから指摘されるようになると思いますが、個人情報の運用管理ポリシーの変更なども必要になるでしょう。規模の大きい組織になるほど、全社的に保管されている個人データの洗い出しなどに時間をかけて対応する必要が出てきます。特にツライのは、新たに英語等で何らかのサービスを提供しようとする際に、GDPR対応を前提としてある程度は考慮しなければならないことだと思います。厳しい罰則規定を極端に恐れてしまい、新サービスの開発を阻んでしまう恐れもあります。

しかし、GDPRの基本的な理念や目的は、EU域内に居住する自然人の基本的権利を守りつつも、それら個人の様々な個人データの取り扱いの幅をEU域外にも広げることでビジネスや経済や研究などを刺激することであって、GDPRに違反した組織に対して厳しい罰則を課すことが目的ではありません。

よっぽど悪質な個人データの運用をしていない限りは、いきなりEUから過料を科されるようなことはありません。とはいえ、GDPRとは別件ではありますが、EUにおいては過去に日本企業が取り締まられたことが何度かあるのも事実です。あまり油断することはできません。

まとめとなりますが、「個人データ」という概念は、従来の「個人情報」よりも範囲が広いため、思わぬところでGDPR対応を迫られるようなことがあるかもしれません。

商用・非商用問わず、EU域内の国を対象とするビジネスやサービスを展開する際には、GDPRの基礎や理念を学習し、個人データ保護の基本的規則として包括的に遵守していくことが今後求められてきます。GDPRのせいで海外にビジネスを展開できない・・・となってしまっては本末転倒ですので、GDPRに対する理解を深めていく姿勢が重要です。

ペリプルスではGDPRに関するご相談も承っておりますと言いたいところですが、正直なところGDPRに関してはまだまだ不明な点が多いのも事実です。不明瞭な段階でこれの対応を焦っても、無駄骨に終わる可能性もあります。（特にブレグジット問題がどうなることか・・・）

引き続き、GDPRに関する情報については追っていきたいと思います。