違反すると“最高で全世界年間売上高の4％に及ぶ制裁金”も EU個人情報規則のインパクト：注意すべきは欧州進出企業だけではない

違反すると“会社の利益が吹き飛ぶほどの罰金”――。2018年5月、企業に大打撃をもたらしかねない規制が欧州で施行されるのをご存じだろうか。対象は欧州進出企業だけではなく、注意が必要だ。

[PR／ITmedia]

PR

　違反すると“会社の利益が吹き飛ぶほどの罰金”が科せられる――。2018年5月、企業に大打撃をもたらしかねない規則が欧州で施行されるのをご存じだろうか。その名は、「EUデータ保護規則」。個人情報の取り扱いに関する取り決めだ。ルールが厳しいことで知られるEU域内の個人情報の取り扱いが、さらに厳しくなるということで注目を集めている。

　企業のグローバル化が進み、サービス向上や業務の効率化を目指してIoTの導入、ビッグデータの解析に取り組む企業が増える中、この規制は企業にどのような影響を与えるのか――。規則のポイントや対応策について、デロイト トーマツ リスクサービス プライバシー関連サービスのプロフェッショナルである大場敏行氏と北野晴人氏に聞いた。

注意すべきはEU進出企業だけではない？　規制強化のインパクト

デロイト トーマツ リスクサービス　マネジャー
大場敏行氏

――　欧州は個人情報の取り扱いが厳しいことで有名です。現状、どのようなルールがあるのでしょうか。

大場氏　EUでは1995年に「EUデータ保護指令」が制定されて以来、EU側が「十分な保護がなされている」と認めた国や地域以外には、原則として個人情報を持ち出すことができません。残念ながら、日本は「十分な保護がなされている」と認められていないのが現状です。

　日本に持ち出す方法もありますが、合法的に持ち出すためにはBCR（拘束的企業準則）、SCC（標準契約）といった契約を締結したり、ルールを決めて当事者から同意を得たりしなければなりません。つまり、“日本企業がなにもせずに、EU域外に個人情報を持ち出せる状況ではない”というわけです。

――　EUデータ保護規則の施行で、個人情報を扱う際のルールはどう変わるのでしょうか。

大場氏　個人情報の漏えい事故を起こした場合の通知義務が課せられます。当事者や監督機関などに知らせなければならないわけですが、通知に一定の制限時間があり、短いものだとそれが72時間以内なんですね。事故が起こってから、この短い時間内に報告しなければならないのです。

　また、この規制が「EU域内に拠点がない場合でも適用される」点にも注意が必要です。EU域内向けにサービスを提供する企業で個人情報を扱う場合は、EU域外の企業でも規制の対象になります。

　さらに違反した場合の罰則も厳しくなり、罰金は最大「全世界の年間売上高の4％、もしくは2000万ユーロ（約23億8000万円　注：2016年6月13日時点のレート）」のどちらか高額な方を支払わなければならなくなる可能性があります。

――　企業がEU域外に持ち出す情報とはどのようなものなのでしょうか。

大場氏　最近、相談が増えているのは人事情報ですね。これまで現地で管理していた人事情報をグローバルで一元管理しようという動きがあります。人事管理用のクラウドサービスを採用する企業も増えており、そうなると欧州側の従業員情報を持ち出す必要が出てくるわけです。

　もう1つは、一般消費者の情報ですね。コンシューマー向け事業を展開している企業が、欧州で集めた顧客データを分析するために欧州以外の場所に持ち出すようなニーズも高まっています。

動的IPアドレスも個人情報？

――　EU域外への持ち出しが厳しく制限されている個人情報ですが、企業が陥りやすい落とし穴はありますか。

大場氏　EU内の「第29条作業部会」という組織が、EUデータ保護指令の運営にあたって個人情報に対する解釈や取り扱いに関する意見を公開しているのですが、その定義を見てみると、広い範囲に渡っている印象を受けます。例えば、動的に割り振られるIPアドレスでさえも、「個人情報に該当する」と言っている場合があるほどです。

北野氏　第29条作業部会では、写真データも場合によっては「センシティブデータ（個人情報の中でも、特に取り扱いに注意が必要な情報）として扱うように」という見解です。写真には、思想や宗教、政治的志向、人種などが分かる情報が写っている可能性があることが理由なのですが、日本で生活していると、なかなかそこまでは思い至りません。

――　昨今ではクラウドを導入する企業も増えていますが、クラウドならではの注意点はありますか。

大場氏　クラウドは保存先のリージョンを指定できるサービスもあれば、一度預けてしまうとどこにデータがあるのか分からないものもあります。EUデータ保護規則への対応という観点では、前者のサービスのほうが、データのありかをある程度把握できるという点で望ましいと考えられます。例えば、日本で分析が必要となるデータについては保存先を日本のデータセンターに指定して、必ずそこに格納されるようにすることで一定の管理はできるでしょう。

北野氏　クラウドといえば、EU域内の個人情報データを米国のデータセンターを経由して日本に持ち込んでいるような企業は対策が必要です。過去、欧州から米国に個人情報の持ち込みを許容するセーフハーバー協定があったわけですが、こうした一定の協定の元、米国に持ち出したデータを日本に持ち込んでいるケースがあるのです。

　米国と欧州のあいだの規定は、米国への持ち出しを許可しているだけで、米国以外の国に持ち出していいと言っているわけではありません。欧州の弁護士に聞くと、必ず違法だと言われます。

　この場合は、欧州と日本の間で持ち出しのための約束がきちんとできていれば問題ないので、そうした対応を進める必要があります。

対策の第一歩は“自社データの棚卸し”

デロイト トーマツ リスクサービス シニアマネジャー　北野晴人氏

――　EUデータ保護規則の施行まで2年を切っている今、企業はどのような対応をすべきでしょうか。

北野氏　2018年5月に「EUデータ保護規則」が施行されるわけですが、実は現行のEUデータ保護指令を知らず、対応していないまま欧州でビジネスを展開している企業も相当数あることが分かっています。

　その意味では、2年後の2018年にルールが厳しくなることを視野に入れ、まずは現行の制度に沿った対応ができているかを点検することをお勧めします。

　点検するには自社が持っているデータとその取り扱いを把握する必要がありますが、海外の状況を詳細に把握しているケースは少ないのが現状です。

　まずは、どこにどんなデータを持っているかをチェックし、そのデータを持ち出しているのかどうか、持ち出しているならどの情報をどこにどのような目的で持ち出しているのか、それらの情報の取り扱いはEUが求めている要件に沿っているのか――といったところを可視化するところから始めるのがいいでしょう。

　その上で、SCCを締結すべきなのか、社内規程を改定すべきなのか、システムの仕様を変更すべきなのか、といったことを順次解決していくことになると思います。

　実際のところ、2年後の2018年5月にEUデータ保護規則が施行されるというデッドラインができたことから、そこに向けて対策を検討する企業は増えています。

――　棚卸しの実施や対策の検討をする際に、EUの個人情報保護政策を理解していないと難しい面があります。

北野氏　デロイト トーマツ リスクサービスでは、欧州における個人情報の取り扱いルールにのっとってさまざまな支援をしています。現状、EU各国で異なる法律がそれぞれどうなっているのか、持ち出すためにどんな手続きが必要なのかといった調査、対応の支援、SCCの締結の仕方や書類の作成、社内規程の見直しまで幅広く対応しています。

　対応については、何か問題が起きたときに、欧州側のデータ保護機関や社会に対して説明責任が果たせる状態にしておくことが重要であり、過敏になりすぎて過剰な投資をする必要はないと思っています。

　ビッグデータの分析やIoTの導入は、企業にとって事業を伸ばすための新たなチャレンジだと思います。しかし、そこにはこれまでにはなかった新たなリスクも伴うわけで、それをどのように見極め、対応するかが大事なポイントです。EUデータ保護規則についても、こうしたリスクの1つと捉えて対応し、ビジネスを活性化させてほしいと思っています。