あちこちで一般データ保護規則(GDPR, General Data Protection Regulation)の適用の恐ろしさが語られています。
GDPRとは、EUで施行される、個人データ(個人情報をコンピュータやネットワーク上で取り扱うためにデータベース等に収めたもの)の定義や権利、収集や保管、取扱いなど管理全般に関するルールを定めたものです。
EUと書きましたが、正確には欧州経済領域(EEA)の加盟国またはスイスの領土内が適用されるエリアになります。
現在、日本の政府機関である「個人情報保護委員会」で国内の事業者に向けて、翻訳やガイドラインの策定が進められています。
何だか個人情報保護法の施行されるときや、改正されるときもこんな状況でした。
ある意味、現時点でGDPRは正体の見えないお化けのようなものです。
お化けは、その正体を知ることで、恐怖感をなくしたり、退治(対峙)できます。
そもそも、このヨーロッパのお化けをどこまで本気で相手する必要があるかどうかも、その会社のビジネス範囲で大きく変わるものです。
なぜ、こんなルールが適用されるのか
もともとEUデータ保護指令など、EUでは個人情報保護について、早くから積極的に取り組んでいました。
個人情報の基本的な考え方としては、個人情報は個人の権利であり、また所有物であり、その取り扱いについてきちんとルールを定め、適切に取り扱うこと、そして持ち主である本人がきちんと把握してコントロールできるものであるというものです。
そのため、個人を特定できる情報やデータについて、
- なぜ収集するのか、
- どう使うのか、
- どう管理(保管)するのか、責任者は誰か、
- 修正や削除したいときはどうすればいいのか
など、利用目的と利用範囲、保管方法などを明示した上で、本人の同意の元に提供を受ける、というのが法令で要求されています。
個人データで成り立つネットビジネス
一方で、インターネットの普及で、ネット上を大量の個人情報(デジタル化された個人データ)が飛び交っているという現実があります。
そして、個人の活動ログや取引履歴などは重要なビジネスデータであり、それらのデータから企業が次のマーケティング戦略を決めたり、AmazonのおすすめやGoogleのAdsense(個人の検索履歴から、適切なおすすめ商品を選ぶ広告システム)のような直接的な利益エンジンの燃料にさえなっています。
つまり個人情報を集めた個人データは、企業の競争力や利益の源泉となる「情報資産」でもあるわけです。
しかも、GoogleやFacebookのように、個人データを圧倒的に独占し、大量に取り扱うことで、巨額の利益を生み出しています。
それらで使われている個人データは適切なものか、個人の権利を必要以上に侵害して、企業活動に使われていないか、といったことを問い直すEU側当局の懸念をベースにした規制強化といえます。
またやりたい放題やって、巨額の利益を上げる米系グローバル企業への危機感もあるように思います。
これらの企業の極端な節税や、Amazonの寡占状況については、トランプ大統領や複数の国の指導者も疑問や懸念を示していますし。
リスクとしては法的リスク、そして財務リスク
では、今回のGDPRへの対応について、どのようなリスクがあるのでしょうか。
まず社会全体としては、先進国にふさわしいレベルで個人の人権を尊重する必要があります。
その個人を表す重要なパーツこそ個人情報であり、人権として、そして健全な社会生活のために、適切な取り扱いや保護が必要です。
本来は個人の持ち物である個人情報を尊重して適切に扱っているのか、不当に扱ったり拡大解釈することで人権を侵害していないのか、という法的リスクがあります。
この社会的な、また法的なリスクを抑制するというのが、このルールの目的です。
もちろん情報セキュリティリスクも
また実際に情報漏洩で個人の属性が悪意のある組織や関係のない第三者に漏れることで、その個人に予期せぬ不利益がもたらされることもあります。
クレジットカード情報の漏えいなど直接金銭的な被害になるリスクもあります。
また、個人の嗜好や健康情報を拡大利用されて、過度なプロモーションで不安を煽って(=不適切な手段で)不要な商品を売り付けられる、なんてケースも、個人にとってリスクです。
人権を守るのはもちろん、個人に法的にも金銭的にも損害を与えないのが、企業の責務となるわけです。
風評(レピュテーション)リスクによるビジネスへの影響
次に企業の側から見た場合、単純に個人データを適切に取り扱っていないということで、規制当局から指摘を受けたり、または個々人から訴訟されるケースがまず想定されます。
その会社は法的要件にきちんと対応しない(できない)会社であり、ビジネスのためなら何でもする悪い会社である、または(悪意はなくても)データ管理もできないだらしない会社というイメージができてしまうので、自分の個人情報を渡してはいけないと多くの人に思われます。
結果として、その会社の評判が下がり、ビジネスが失速してしまうというリスクがあります。
いわゆる風評(レピュテーション)リスクです。
ネットの世界は、ごく一部の独自の巨大プラットフォームを持つ企業(Google、Yahoo、Facebook、Amazonなどを思い浮かべてください)以外は、同じようなサービスにたくさんの競合がひしめいています。
何かの悪評でビジネスが失速すると、すぐ別のどこかに取って代わられることになります。
そういう意味では、対応を間違えると、経営に大きな影響が出て、最悪、そのビジネスから撤退せざるを得なくなる、なんてケースもあるわけです。
高い制裁金が恐ろしさの理由の1つ
個人的には、米国企業の独占に対してのEU側からの防御など特殊な意図があると思っていますが、このルールに違反した場合の巨額の制裁金が話題になっています。
たとえば、管理体制の整備や日々のデータ管理・運用を適切に行わなかった場合の制裁金は、1,000万ユーロ(1ユーロ=130円として、13億円)か全世界での売上高の2%の高い方とされています。
13億円でも中小規模の企業では払えるかどうかも不安になりますが、グローバル企業の場合は、たとえば全世界の連結で1兆円の売上がある企業なら、200億円にもなります。
欧米に比べて利益率の低い日本企業なら、明らかに業績の大ダメージになる金額です。
また悪質と見なされた場合は、その倍の2,000万ユーロ、または全世界の売上の4%の高い方となります。
いずれにせよ、ヨーロッパを相手にしたビジネスに大きな影響が出ます。
誰に影響があるのか
保護の対象はEUの域内に「所在」する個人の個人データになります。
「所在」というのが曲者で、住んでいるだけでなく、一時滞在している人も保護対象に含まれるということになります。
まずは、顧客や従業員など、自社の持つ個人データにヨーロッパ在住もしくは関連のある人が含まれているかいないかが、最初のチェックポイントになります。
特にヨーロッパで営業活動していない企業でも、工場があったり、ヨーロッパの委託先に製造を依頼していたりすると、そこの従業員や担当者の情報を保持している可能性があります。
それらも、立派に「EU域内の個人情報」となります。
顧客も従業員も取引先も日本国内だけ、もしくは相対的に個人情報保護にあまり積極的でない米国や中国の人だけなら、少し安心していいでしょう。
ニッポンの中小企業への意外な影響
一番インパクトを受けるのは、Google、Facebook、Amazonといった、個人データを武器にビジネスを展開しているグローバル企業ということになります。
日本でも、ユニクロとかソニーのようなグローバル企業、「ポケモンGO」など世界的に人気のあるゲームを持つゲーム会社などが影響を受けることになります。
また上記ほど巨大でなくても、ヨーロッパも含めてグローバル展開している企業にとっても、この要件を理解して、自社のプライバシーポリシーの修正、顧客などへの同意の取り直しなどが発生するかもしれません。
意外なところでは、海外の旅行者を受け入れている旅館や飲食業、輸送業には影響が出そうです。
ヨーロッパからの予約については、ヨーロッパに居住する人の個人データを取り扱ったり、保管することになります。
そのため、このルールの定義上、ルールの適用対象となります。
そうなると、たとえばデータセキュリティのコンサルティングなどに依頼して、自社のサーバや予約受付のプロセスが、 このルールに適合しているか確認する必要が出てくるでしょう。
現地法人と本社の関係に注意
次にEU域内に現地法人や営業所など、拠点を持っている場合を考えてみます。
もし現地法人が独自にEU域内でのデータ収集をしていて、その法人が所有するEU域内にあるコンピュータにデータを置いている場合。
その時はその現地法人の範囲で、適切に対応すればOKです。
そうでなく、活動は現地法人や支社・支店でも、収集した個人データは日本の本社データセンターにある、あるいは本社から委託した第三国のデータセンターにある場合、そのデータセンター自体がEUの基準を満たしていることを監査や点検など、第三者が見ても納得できる適切な方法で確認する必要があります。
もしルールの要件に合っていない場合は、何らかの対応をして、要件に適合しているといえる状態にまで持っていく必要があります。
これで何が変わるのか
まずは、個人データの定義がより厳しい方向で明確化されることでの影響が大きいと思います。
これまで、個人が特定できる情報は取らずに、「データを集めて今後の製品やサービスの品質向上のために利用していますが、お客様個人が特定される情報は含まれていません」ということで、個人情報管理の責任を逃れつつ、データ分析を活かしてビジネス展開することが可能でした。
ところが、これまでは「個人が特定できる情報」という定義が主流だった個人データが、「その個人に所有権がある情報」まで定義が広がることで、IPアドレスやGPSなどの位置データ、さらにインターネット利用の活動記録が残るCookieも個人データに含まれるということになります。
そのためEUを対象にビジネスをする場合、これまで「個人情報は収集していない」と判断して同意を取るなどの対応が不要だった情報についても、「個人データを取得している」という前提で取り扱わなければいけないことになりました。
つまり、EUと関連するビジネスについて、個人情報の取扱いのためのルールや手続きを拡張する必要が出てくるということです。
まずは、自社のプライバシーポリシーの明記、顧客からの同意の取得、何か申し出があった場合に対応できる仕組みの強化などが必要となってきます。
すでに、個人情報を取り扱っている企業では、取り扱う上でのルール、担当部署、連絡先の設定などはある程度体制ができているでしょうから、全く新しいものを作るわけでなく、既存の仕組みを拡張することで対応できるかとは思います。
それはそれで、面倒な作業ではありますが。
では何をしないといけないのか?
まずは上記のように、自社のビジネスがEU域内から出てきた個人データに関係するかどうかの確認となります。
ここで顧客、従業員、取引先含め、エリアとは関係ないということであれば、従来どおり、日本国内法への確実な対応を継続していけばいいでしょう。
または、余力があれば、GDPRの要件へ適合しているかを調べてみて、自社の仕組みの改善のヒントにしてもいいかもしれません。
もし何らかの形でEU域内の個人データをすでに取り扱っていて、今後とも取り扱う必要がある場合は、まずは個人データの洗い出しから始めることになります。
具体的なステップは、以下のようになります。
- EU域内の個人データを扱う可能性の有無の確認(なければ、ここで終了)
- 社内に複数ある個人データのうち、どれが対象となるかの洗い出し
- GDPRの要件をチェックし、対応の必要がある箇所を確認する(また日本国内でも政府機関の「個人情報保護委員会」からGDPR対応に関するガイドラインなど出されるはずなので、そのガイドラインをレビューしつつ、自社の体制とのギャップを比べてみるのが現実的でしょう)
- ギャップがあれば、深刻度合いを評価し、何をすべきか検討する(対応策についても、精度は高いがコストや人手の掛かるもの、精度は低いが低コストであまり手間を掛けないものなど、複数のものが考えられる。自社にとってのリスクの大小や想定される予算から決めていく)
- 実際に対応責任者を決める
- 経営層と対応責任者で行動計画を立てて、段階的に体制の整備やプロセスづくりを進めていく
EU域外にあるデータの取扱いがネックに
特にEU域内に所有権のある個人データは、原則としてEU域内にしか置けないというルールが重いと思います。
実際はクラウド化が進むデータサーバの世界で、データは世界中の様々なところに置かれています。
さらにバックアップのためにデータを二重化、三重化して、リスク分散のためにメインデータは米国、バックアップデータその1は東南アジア、バックアップデータその2は日本に置く、といった国境を超えた運用が普通に行われています。
GDPR対応のために、かなりのコストと手間暇を掛けて、データセンターを全面的にEU域内に移すというのは、相当ハードルが高いと思います。
実際は、データセンター自体が不正な侵入や自然災害、テロ、その他想定されるリスクに対して、最大限の防御策がなされていること。
またデータ自体も暗号化されたり、アクセス権限を他国の人に与えないようにして、実際は他エリアの人には開示できないようなデータセキュリティ対策はされていることを確実に確認した上で、実質的にEU域内の厳しい条件を満たしたデータセンターと同等以上の環境にある、よってEU域内に置くのと同等の条件で運用されているから大丈夫だ、と主張して運用を継続するのが現実的な対応になるでしょう。
もちろん、実質的に安全であるといえるだけの対策ができているのはいうまでもありませんが。
今後の現実的な展開は?
これまでこのような法令の強化があった場合、事前にかなり管理強化しないといけないという説明があちこちから出て、企業の経営者や担当者に過度の不安を与えることがありました。
ただし、識者(法律やデータセキュリティの専門家)としては、「意外と大丈夫ですよ」といって後から「やっぱり大丈夫じゃなかった」といった時の自分の評判への悪影響を考えると、どうしても厳しめの予測をする傾向があります。
逆なら、みなさん、「あー思ったより軽く済んで良かった」と安心して、後から蒸し返して非難はしないものですし。
また法律事務所や企業のリスクやセキュリティコンサルティングを主業とする会社も、なるべく不安を煽って、このビジネスチャンスをきっちりつかもうという強いインセンティブがあります。
そのため、何をどこまでやればいいのか、またある対応策についても、「必須」なのか「努力目標」なのか、また「必須」としてもどの程度やればいいのかを冷静に見据えないと、過大な支出をしたり、余計な仕事をする羽目になります。
実際は、日本の個人情報保護法も国際標準に沿って必要十分な厳密さを持っています。
ですから、現行の国内法に対応できていれば、土台は十分にあるといっていいので、過剰に心配する必要はありません。
また、法制度が整備されていて、実際に事業者が対応できている国については、「対応十分」とみなして、EU域内の要件を満たしているとみなす仕組みもあります。
日本もEUからこの対象として認められる見込みなので、その意味でも、冷静に動向を見つつ、日本の当局からのガイドラインのリリースを待つのが現実的で確実な対応ではないかと思います。
コメント