コラム

2019年6月11日

ディレクション部　ディレクター A

知らなかったではすまされない！企業がGDPRで最低限行うべき対応とは？

2018年5月25日に施行された一般データ保護規則（General Data Protection Regulation）、通称GDPR。施行されて当コラム執筆時点で1年余り経った現在（2019年5月時点）でも、まだまだ日本では理解が 深まっていない印象があります。
GDPRの施行は、欧州が米国のIT企業に対して、個人データを利用したビジネスに歯止めをかけたかったことが発端、との話も聞きますが、日本にとっても対岸の火事ではありません。

「個人情報の取り扱いについて各企業は大幅に見直さなくてはならない」「違反したら多額の制裁金をくらう可能性がある」「対策を取らない企業は淘汰される」。施行以来、そのような不安をあおる話はよく耳にするにも関わらず、 いざ理解しようと色々調べてみても、基本的な情報や個人の解釈は出てくるものの、日本の企業向けに「対策としてはこれをやっておけばOK」という明確な答えはまだ少ない気がします（少なくとも私が調べた限りでは）。

せめて「ここの企業が行っている対策は完璧だから真似すれば大丈夫」のようなものがあれば安心ですが、各企業の間でも解釈や対応が異なっているところを見ると、明確な解はまだ確立されていないように思います。
某巨大IT企業 が罰則を受けたのも記憶に新しいですが、そのような世界的に有名な大企業でさえ、GDPRの意図とは異なった独自の解釈をしてしまったという点から見ても、現時点でGDPRが求めることに完璧に備えるのは、難しい事なのかもしれません。

かといって、法律として施行されている以上、企業の規模の大小に関わらず、適用範囲に該当する場合は、対策は行っていかなくてはならないでしょう。

そもそもGDPRとは何なのか？どのような対策をとるべきなのか？担当案件にてGDPRについての調査が必要となり、GDPRについて書かれた国内サイトや、現在発行されている書籍をできる限り調べてみた私 の見解も織り交ぜつつ、お話したいと思います。

そもそもGDPRとは？

GDPRとは、EU（欧州連合）が施行し、EEA（EU加盟国にノルウェー、アイスランド、リヒテンシュタインの3カ国を加えた欧州経済領域）全31カ国に所在する全ての「個人データ」の保護を目的とした新たな法律で、その個人データの「処理」と「移転」について、これまでと比べ、極めて厳しく規制したものとなります。

ここで言う「個人データ」とは、名前やメールアドレス、カード情報などのいわゆる個人を特定できる情報はもちろん、例えばIPアドレスやCookie、肌の色や人種、宗教にいたるまで、あらゆる個人に関する情報を含みます。

そして「処理」とは個人データに対して行われる、収集、閲覧、保管、管理など、全ての操作を指し、「移転」とはEEA領域外の第三者に対しての送付や閲覧が可能になるための全ての行為を指します。

「全て」という言葉が示している通り、いかに広範囲において規制したものであるかがお分かりいただけたかと思います。何よりこの法律が世間に注目された理由として考えられるのは、後述の通り、違反した際のリスクの高さと、その適用範囲によるものでしょう。

違反したらどうなるの？

もしこのGDPRに違反をしたとなった場合にどうなるか？

違反内容にもよりますが、極めて高額な制裁金を支払わなくてはならない可能性があります。額としては最高で全世界年間売上高の4％、または2,000万ユーロ（当コラム執筆時点のレートで約25億円）、この内いずれか高い方が科せられる、としています。
つまり、年間売上高が例えば1兆円の企業だとした場合、もし違反すると最大で400億円が科せられ、1億円の企業だとした場合、最大で2,000万ユーロが科せられる、ということになります。

これは大企業でも大きな打撃となりますが、それ以上に中小企業、ましてや零細企業が制裁の対象となった場合は…と考えると、GDPRによる制裁金が、いかに各企業にとって無視できない額が設定されているかはお分かりいただけるかと思います。

もちろん、GDPRに違反したイコールここまでの額が即、制裁金として科せられる、というわけではありません。制裁金がどれくらいの額になるかは、違反内容が故意であるか、それとも過失なのか、重大性はいかほどか、過去にも違反があったかなど、様々な方向から見て決められるようです。ですが、仮に少額だったとしても、それにより企業の信用が下がることに繋がるのは言うまでもないことです。

どこまでが適用範囲なの？

GDPRで定められている適用範囲としては「EEAの領域内に所在する個人データを処理または移転する場合、どの国の、どの場所にある企業であったとしても、全てが対象」としているようです。

ここで注意したいのは「EEAの領域内に所在する個人」とは、国籍や居住地を問わない点です。つまり「EEAの31カ国いずれかの国籍の人」や「EEA領域内に住んでいる人」ということではなく、「EEA領域内にいる人」ということ。例えば日本人の山田さんが旅行や出張などでEEA領域内に入ったとした場合、領域内にいる間は「EEAの領域内に所在する個人」と見なされます。

その上で、自分の会社が適用されない条件としては、「EEA領域内に拠点がない」かつ「EEA領域外からEEA領域内に所在する個人データを処理することがない」場合となります。ということは、GDPRの適用から外れる企業は、おそらく少数派になるのではないでしょうか。

逆に、適用される条件としては様々なケースが考えられるかと思いますが、おおよそ以下のケースが多いかと思います。

（1）EEA領域内に拠点（子会社や支店、工場なども含む）があり、同拠点にて領域内の個人データを処理している場合

領域内の拠点にて個人データを処理しているので、該当拠点が適用範囲となります。

（2）EEA領域内に拠点があり、領域内と領域外の両方にて領域内の個人データを処理している場合

領域内の拠点だけでなく、領域外（例えば日本の本社など）でも個人データを処理しているので、領域内および領域外の両方の該当拠点が適用範囲となります。

（3）EEA領域内に拠点はないが、領域外にて領域内の個人データを処理している場合

領域外の該当拠点が適用範囲となります。

なお、いずれの場合でも、EUから十分性認定（データ移転するにあたり十分な保護措置を講じている国かどうか）を受けている国への「移転のみ」については、GDPRへの対応は不要となります。
日本は2019年5月現在でこの認定を受けているため、例えばEEA領域内の拠点で収集した個人データを日本国内にある本社へ移転のみをする場合、本社では対応が不要となります。ただし、十分性認定を受けていない国への移転や、日本でも万一、当認定が撤回されてしまった場合は、移転のみであったとしても、移転先の拠点でも対応が必要となりますので、注意が必要です。

どう対応したらいいの？

一番安全という意味では、GDPRに特化したコンサルティング会社や弁護士に相談するのが良いかもしれません。ですが、当然その分費用がかかりますので、どの企業でも行えるわけではなく、実際には難しい場合も多い でしょう。

色々調べてみて、よく耳にする話としては、「対応が不十分だからといって、即、制裁の対象となるわけではない」ということです。ではしばらく様子見でいいのか、というと、もちろんそうではなく、「取れる対策は取っておくに越したことはない」と私は思います。
仮にGDPR対策がまだ不十分な中、当局からの調査が入ってしまったとしても、「自分の会社はGDPR対策を取る意思があり、そのための努力と、計画を立てての行動をしている」状態であることが大事であり、その状態であることと、ないこととでは、制裁の重さに差が出てくると考えられます。

あくまで色々調べた上での、現時点での私の中での答えとはなりますが、大枠としては以下の流れに沿って対策を立てていくことができれば、最低限の対応を取っていると言えるのでは、と考えています。

（1）現状および今後取り扱う個人データの棚卸し

現時点で取り扱っている、および今後取り扱う予定となる個人データが何で、どれだけの分量があり、誰が管理し、どのような形式で、どこに保管されているか。それらの個人データに対し、誰が閲覧や変更などの「処理」ができるか。以上について全て洗い出します。

（2）対策スケジュールの作成

（1）の棚卸し結果を元に、以下の（3）～（6）までの対応について完了までの具体的なスケジュールをひき、文書化します。

（3）業務上不要な個人データの削除

（1）で抽出した各個人データの中で、業務上不要なものが無いかを洗い出し、もしあれば該当する不要な個人データを削除します。

（4）個人データの処理に関する記録の作成

（3）で不要な個人データを削除した後の各データについて、なぜ「処理」の対象としているかの利用目的と、各個人データに対しどのような「処理」を行うか。他国への移転があり得る場合はその移転先はどこか。社外（業務の外注先など）での「処理」がある場合は、それがどこで、どの個人データで、どのような「処理」を行うか。そしてこれらのデータの管理者の氏名や連絡先なども合わせて、全て文書に記録します。

（5）サイバーセキュリティ対策の実施

扱う個人データの漏洩を防ぐためにも、例えばデータの暗号化や、最新のセキュリティソフトの導入など、いわゆるサイバーセキュリティ対策を実施します。

（6）プライバシーポリシーの改定・明示

今までのプライバシーポリシーといえば、必要情報の羅列のような形のものが多かったかと思いますが、それではGDPR対策としては不十分です。GDPRが求める条件に合わせて「簡潔で分かりやすいこと」「サイト上の目立つ位置に置くこと」「個人データの取得および利用の可否に関する選択権を、事前承認の形式で本人に提供すること」「忘れられる権利（消去件）などの個人に与えられている権利を明記すること」を満たすものに改定および改修します。

以上がざっくりと現時点で私の中で考えている「最低限の対応」となりますが、 あくまで法律に関しては素人となる私の考えとなりますので、今後のGDPRに関する情報や動向も追いながら、可能な限りGDPRの求める対策を取っていくことをおすすめします。

最後に

当コラムではGDPRに焦点をあててお話させて頂きましたが、今後各国で同様またはそれ以上に厳しい内容の規制強化が出てくる可能性は十分にあります。

すでに施行されているロシアの「個人データに関する連邦法」や中国の「サイバーセキュリティ法」なども、該当企業に求められる対応内容としては、かかる負担は決して軽いものではないと思います。
また、2020年にはGDPRよりも適用範囲が広いとされる、カリフォルニア州で成立したカリフォルニア消費者プライバシー法（CCPA）が施行される事になっていますので、アメリカで事業を行っている企業であれば、対策に頭を悩まされていることでしょう。

GDPRを皮切りに、今後世界的に個人データに関する規制が更に厳しくなっていくであろう中、各企業の担当者は都度対応を迫られることになるはずです。まずはしっかりGDPRの対策を行っていくことで、来たる個人情報の規制強化の荒波に立ち向かえる知見を、今のうちに蓄えておくべきだと、私は考えています。

※当コラムは2019年5月時点に執筆したものとなります。