【魚眼 虫眼 鳥瞰】 EUで一般データ保護規則施行
月刊情報誌『JMAマネジメント』の連載記事の一部をご案内いたします。
EUでは2018年5月に、「一般データ保護規則(GeneralData Protection Regulation:GDPR)」が施行される。EU加盟国共通の個人情報データの処理と移動に関するルールある。現在、EU加盟国それぞれに、データ保護に関する規定は存在するものの、国によってその内容は異なっている。それが統一されることとなる。また規制も、現行の「データ保護指令(Data Protection Directive 95/46/EC)」より強化される。
この規則に関心を寄せてほしいのは、欧州に拠点をもたない企業においても、かかわりが起こりえるからだ。日本からEUに商品やサービスを提供する企業、EUから個人データの処理を受託している企業などは、GDPRに沿って手続きを行わなければならなくなる。
また、違反したときの制裁金が多額であるという点にも注意したい。違反した場合、違反内容によっても異なるが、最低でも、1,000万ユーロ(13億円/ 1ユーロ130円として)という額である。最大では、全世界売上高(年間)の4%が制裁金となる。中小企業にとっては、死活問題になりかねない。
日本の個人情報保護法に沿って対応しているから大丈夫と考えてほしくない。GDPRでは、個人データを域外に移転することが禁止されており、日本は欧州委員会からデータの保護措置が十分なレベルにないとされているため、「拘束的企業準則(Binding Corporate Rules:BCR)」もしくは「標準データ保護条項(Standard Data Protection Clauses:SDPC)」などを使う必要がある。それゆえに、GDPRについて把握し、各社が独自の対応計画を立てなくてはならない。幸い、GDPRの施行時に完全に対応している必要はないという余地が残されている。各企業は計画的に順次対応をすることで、違反にあたらないようにしていただきたい。
欧州でビジネスをする方に確かめてみたところ、「淡々と進めている」「進んでいる」とのことで、ことさらに騒ぎ立てているわけではないというのが現地の状況のようである。経営者の的確な判断と対応が求められる。