GDPRが日本における「改正個人情報保護法」と異なる点の1つは、制裁金や個人情報の利用停止措置など「強制的なペナルティー」がより具体的に決まっている点だ。染谷氏は、こうしたペナルティーは「決して見せしめや脅しとは限らない」と話す。
同氏がその根拠に挙げるのは、近年EU圏内において、個人情報の取り扱いを巡る制裁措置が活発化している点だ。収集した個人情報を本来の目的以外に利用した企業や、正しい手続きを経ずに個人情報を別の地域に移した企業が、多額の制裁金を課されているのだ。こうした動きは、まさに2018年5月のGDPR施行に合わせたものと考えられる。例えば、顧客から収集したメールアドレスなどの個人情報は、あくまで収集時に明示した目的にのみ活用可能で、「持っているから何にでも使っていい」とばかりに不正利用すれば、それなりの制裁が待っているというわけだ。
国名 | 企業 | 内容 | 制裁金 |
---|---|---|---|
イタリア | テレコムイタリア | テレマーケティング違反 | 84万ユーロ(約1億円) |
イタリア | Yume s.r.l.,/Marc 1 s.r.l.,/Sigue Global Service Limited, Sirama s.r.l.,/Euro Communication System s.r.l. | データ移転違反 | 1100万ユーロ(約14億円) |
イギリス | ホンダヨーロッパ | ユーザーの同意を得ずにマーケティングメール送信 | 1万3000ポンド(200万円) |
イギリス | Flybe | ユーザーの同意を得ずにマーケティングメール送信 | 7万ポンド(約1000万円) |
イギリス | Morrisons | 購読を解除した人にマーケティングメール送信 | 1万500ポンド(155万円) |
制裁措置を課された企業の例(2018年6月現在のレートで日本円に換算) |
既に日本国内でも、企業が個人情報保護関連の法律に対応する動きが進んでいる。具体的には「改正個人情報保護法」や「改正割賦販売法」などだ。そのような企業には、ぜひ「海外の法規制」にも着目してほしい。現在ではシンガポールや韓国、中国でも法規制が整備されつつある。また、APEC(Asia-Pacific Economic Cooperation:アジア太平洋経済協力)の21加盟国におけるデータ移転に関して定めた「CBPR(Cross Border Privacy Rules:越境プライバシールール)システム」については、一般財団法人日本情報経済社会推進協会(JIPDEC)が、日本の認証機関として活動している。これらの動きも、「知らない」では済まされない。
「それでも自分たちには関係なさそうだ」と思っている方も多いだろう。しかし、染谷氏によれば、意外な形でGDPRの保護対象である個人情報を扱っている組織や企業は多いはずだという。「例えば、日本では海外からの観光客が増えている。旅館やホテルなどで、EU圏からの旅行者を受け入れている場合や海外事業者と業務提携している場合は、GDPRを無視できない。地方自治体でも、EU圏内の自治体と姉妹都市になって交換留学を行っていれば、参加者の名簿などを保持しているだろう。オンラインであろうとオフラインであろうと、EU圏居住者の個人情報を扱っていれば、GDPRの適用対象となり得る」(染谷氏)
Copyright © ITmedia, Inc. All Rights Reserved.