Reading Time: 1 minutes
第1回 GDPRの概要と日本における現状
ManageEngineが運営するブログへお越しいただきありがとうございます。
この度、ManageEngineブログでは、2018年5月25日に施行された、GDPR(General Dat Protection Regulation)EU一般データ保護規則に関して、日本の企業および組織において、未だ十分な対策が行われていない現状を踏まえ、各企業や組織がGDPRを自己解決するために必要な情報提供として連載を開始します。連載中はGDPRの対策を行う上で必要な情報と対策を進めるためのツール類も提供していきます。連載は全7回を予定しております。
連載中の情報提供においては、GDPR対策講座を開催する、ニュートン・コンサルティング社より協力を得て、GDPRを対策するために必要な情報やツールの提供を行います。筆者も実際にこのGDPR対策講座に参加しました。そちらで得た知識を基にブログを通じてみなさまへ情報提供を行います。
今回1回目においては、「GDPRの概要と日本における現状」についてご案内します。
■GDPRの概要
EU 一般データ保護規則(General Data Protection Regulation:GDPR)の正式名称は次の通りです。
「個人データの取扱いに係る自然人の保護及び
当該データの自由な移転に関する欧州議会及び欧州理事会規則」
GDPRを簡単に説明すると、「個人データ」の「処理」と「移転」に関する法であると言い換えられます。GDPRでは、EEA※域内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件を規定しています。これらの概念の説明と例として以下の表をご覧ください。
概念 | 説明 | 例 |
個人データ | 識別された、または識別され得る自然人(「データ主体」)に関するすべての情報 | ・自然人の氏名 ・識別番号 ・所在地データ ・メールアドレス ・オンライン識別子(IPアドレス、クッキー識別子) ・身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因 |
処理 | 自動的な手段であるか否かに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業 | ・クレジットカード情報の保存 ・メールアドレスの収集 ・顧客連絡先詳細の変更 ・顧客氏名の開示 ・上司の従業員業務評価の閲覧 ・データ主体のオンライン識別子の削除 ・全従業員の氏名や社内での職務、事業所の住所、写真含むリストの作成 |
移転 | GDPRに定義なし。あえて定義すれば、EEA生きがいの第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為 | ・個人データを含んだ電子形式の文書を電子メールでEEA生きがいに送付することは「移転」に該当する |
出典:「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
日本貿易振興機構(ジェトロ)JETRO 発行https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
P.2-3 表1:基礎的な概念の説明と例
また、個人データが関連する個人を「データ主体」、その個人データを管理する「管理者」、管理者を代理して個人データの処理を行う「処理者」と位置付けています。「データ主体」、「管理者」および「処理者」の関係は以下の表および図を参考ください。
概念 | 説明 | 例 |
データ主体 | 個人データが関連する該当個人。 | ABC社は自社従業員の個人データを処理している。この個人データが関連するABC社の従業員個人がデータ主体である。 |
管理者(第4条(7)) | 単独または共同で個人データの処理の目的と手段を決定する。管理者は、個人データの処理の適法性とGDPR違反に対する責任を負う。 | ABC社は自社従業員の個人データを処理している。雇用者としての業務を遂行するために処理をおこなっているため、管理者に相当する。 |
処理者(第4条(8)) | 管理者を代理して、個人データの処理を行う自然人または法人。 | ABC社は他社のマーケティングツールの管理のための個人データの処理を専門業としている。この機能においてABC社は処理者であり、管理者を代理して処理を行う。 |
出典:「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
日本貿易振興機構(ジェトロ)JETRO 発行https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
P.3 表2:「データ主体」、「管理者」および「処理者」の説明と例
出典:「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
日本貿易振興機構(ジェトロ)JETRO 発行https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
P.4 図2:「データ主体」、「管理者」および「処理者」の関係
※欧州経済領域(EEA 英European Economic Area)
欧州自由貿易連合(EFTA)加盟国が欧州連合(EU)に加盟することなく、EUの単一市場に参加することができるように、1994年1月1日にEFTAとEUとの間で発効した協定に基づいて設置された枠組み。 スイスを除くEFTA加盟国のアイスランド、リヒテンシュタイン、ノルウェーと、EU(欧州連合)に加盟する28か国を示す。
EU加盟28か国:ベルギー、ブルガリア、チェコ、デンマーク、ドイツ、エストニア、アイルランド、ギリシャ、スペイン、フランス、クロアチア、イタリア、キプロス、ラトビア、リトアニア、ルクセンブルク、ハンガリー、マルタ、オランダ、オーストリア、ポーランド、ポルトガル、ルーマニア、スロベニア、スロバキア、フィンランド、スウェーデン、イギリス
GDPRはEU基本権憲章という EU法体系の根幹をなす法において保障されています。その憲章の大部分は、人権と基本的自由の保護のための条約、欧州社会憲章、欧州司法裁判所の判例、既存の欧州連合の法令の規定を基礎として作られています。
EUはそもそも人権思想の発祥の地域であると言えます。EU以前に発足した欧州評議会が1950年に制定(1953年発効)した欧州人権条約は、1948年12月10日の第3回国際連合総会で採択された世界人権宣言に基づいて自由権を規定した世界初の条約です。
このことより、GDPRは、単なる個人情報の保護というレベルに留まるのではなく、個人データの保護に対する権利という基本的人権の保護を目的とした法律となっています。
GDPRではこれまでの国内外の個人データに関する規制に対して、CookieやIPアドレスなどの無記名の個人の履歴データも保護の対象としています。
昨今では、ビッグデータやAI、人口知能などの普及が急速に進んでおり、無記名の個人の履歴データを活用し、新たなビジネスサービスの提供などが進んでいます。一時的には無記名の個人の履歴データであっても、何らかの拍子に個人データと紐づいた場合には、プライバシー並びに人権が侵害されるリスクがあります。GDPRはそうした状況に対する規制を行う先進的な内容になっています。
GDPRは2016年5月4日付のEU官報に掲載し、2016年5月24日に発効されました。ただし、行政罰を伴う適用開始は 2018年5月25日と定められており、これが実質的な施行日になっています。
GDPRの適用対象は、企業のみならず、官公庁自治体および非営利法人なども含まれます。
EEA(欧州経済領域)※域内に現地法人、支店、駐在員事務所を置くすべての企業、団体、機関が、GDPR への対応検討が求められます。
規模を問わず中小企業も含めて対象であり、EEA 域内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などで EEA 所在者の顧客情報を取得・移転する場合、適用対象となり得ます。
GDPRに違反した場合、巨額の制裁金を科されるリスクがあります。制裁金の上限額は、2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方と定められています。GDPRの制裁金の額は、企業経営や公的機関の運営を揺るがし兼ねない規模となっています。
■日本における現状
2018年5月25日のGDPR施行日の直前2018年5月17日に、トレンドマイクロ社が発表した「EU一般データ保護規則(GDPR)対応に関する実態調査」によれば、「GDPR対応が完了している」のはわずか10%とし、日本国内での対応が遅れている実態を示しています。
https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180517-01.html
一方、現在はGDPRを支援するコンサルタントや専門家が圧倒的に不足しており、全ての組織が外部支援を受けることは難しい状況です。そのため、未だにGDPRへの対応が完了できていない組織においては、自社のリソースで可能な限り対応を進めざるを得ない状況となっています。
GDPRを日本の改正個人情報保護法と比較してもかなり厳しい内容となっています。
出典:ニュートン・コンサルティング発行
EU一般データ保護規制(GDPR)の概要
P.15 GDPR vs 改正個人情報保護法
■グローバルにおける個人データ保護の動向
ビッグデータやAI、人工知能などの技術が発展する中、個人データ保護に関するグローバルでの取り組みは積極的に刷新される動きになると考えています。各国、地域でも以下のような取り組みが行われています。
EU GDPR(EU一般保護データ規則)
日本 改正個人情報保護法
中国 中国サイバーセキュリティ法
ロシア 個人データに関する連邦法
シンガポール 個人情報保護法
APEC CBPR(逆境プライバシールール)
筆者が思うところ、GDPRはEU(EEA)から発信されたものですが、今後、同様の考え方となる規制が国際的に広がると言って過言ではありません。GDPRに対応することで、今後の国際的な個人データ保護トレンドに沿った対応を行うことができると考えています。
■Zohoにおける取組
弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。
https://m.youtube.com/watch?v=IovXB__qQPQ
動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容(和訳)
ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!
この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。
また、ZohoではGDPRに対してあらゆる取り組みを開始しております。
GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html(日本)
https://www.zoho.com/lp/gdpr.html
当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。
GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/(日本)
GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html
「GDPR対策をDIYするブログ」第1回は「GDPRの概要と日本における現状」について書きました。GDPRの概要については、ニュートン・コンサルティング社が開催するGDPR講座の冒頭で解説される「EU一般データ保護規制(GDPR)の概要」の資料を以下よりダウンロードいただけます。
GDPR第2回は、「GDPRへ対応するための作業ステップと事前準備」についてご説明します。
最後に1つご案内させていただきます。
今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。
ニュートン・コンサルティング GDPR講座
GDPRセミナー(EU 一般データ保護規則)ツール完全提供!
~完全準拠ツールをすべて提供&GDPRの概要と取組む際の勘所~
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。