正しく知れば怖くない GDPRの基本と対策のポイントをIIJが解説:“日本が知らない”海外のIT(番外編)(1/5 ページ)
欧州連合(EU)が5月25日に施行したGDPR(一般データ保護規則)。実際、どんな影響を企業や個人に及ぼすのか。日本企業はどうすればいいのか。IIJに聞いた。
2018年5月25日、欧州連合(EU)がGDPR(一般データ保護規則)を施行した。General Data Protection Regulationの頭文字をとってGDPRと呼ばれるこの法律は、企業による個人データの取得利用を規制するもので、16年に欧州議会で可決され、2年間の猶予期間を経て、今回の施行となった。
全99条の条文と173項目の前文で構成。EU域外へのデータ移転を原則認めない、規約に違反すると制裁金2000万ユーロなど、センセーショナルな部分はよく聞こえてくるが、なぜビジネス活動に影響するのか、そもそもGDPRとは何か、なぜ立法されたかなどの背景はなかなか見えにくい。
さらに、対象は企業だけなのか、そこには個人事業も含まれるのか、企業の規模ではなくビジネスの内容によるのかなど疑問が絶えない。
日本語訳も出始め、対策なども論じられているが、「そもそも」を理解しないままに対策に走ると、“木を見て森を見ず”になってしまうのではないか。
そこで、日本の老舗ISPであるインターネットイニシアティブ(IIJ)の鎌田博貴氏(ビジネスリスクコンサルティング本部副本部長・プリンシパルコンサルタント)にGDPRの全体像を分かりやすく解説してもらった。
個人データにセーフネットをかける
── GDPRが施行された背景を教えてください。
大きく2つあります。GDPRの前身として、95年にEUデータ保護指令が採択されました。今回のGDPRも保護指令も、個人データの取得や利用には一定の法的な根拠が必要であり、透明性、公正性を原則とするというのは同じですが、保護指令はEU加盟各国が個人データ保護のための国内法を制定するための指針という位置付けであり、実際に制定された国内法の内容は国によって差異がありました。
EUには、国境に関係なくヒトやモノや資金を移動できるシングルマーケットという理念があります。保護指令をガイドラインとした国内法の内容が各国がバラバラだっため、EU全域を舞台とする多国籍企業の活動に不便が生じていました。そこで、国内法の手続きを経ずに加盟国で適用できるようなEUの法律を定めようという機運が高まり、GDPRが生まれました。
もうひとつは、インターネットの浸透度です。95年というのは、民間企業や一般市民が通信手段にインターネットを使うようになった時期です。その後20年ほどたち、われわれの生活はインターネットなしでは成り立たなくなり、取り扱われる個人データの質や量、生活に及ぼす影響も95年とは比べものにならないほど大きくなっています。さらに昨今では、AI(人工知能)やIoTなどにより、暮らしの中に情報通信がさらに入ってきています。そのような状況を前提とした新しい規則が必要になったわけです。
── GDPRの特筆すべきポイントはどこでしょう。
技術の進歩により高度なサービスが提供できるようになりました。その一方で、24時間365日、自動的に個人データ処理が行われるようになっており、自分のコントロールが及ばないところで権利が害される可能性があります。そのような事態に対してセーフガードをかけたのがGDPRです。
GDPRでは、個人データ処理が何のために、どういう根拠で行われ、誰に開示されるか、いつまで保持されるかなどを関係する個人に事前に説明する義務を、旧データ保護指令に比べて強化しました。そして、AIなどを利用した自動的な決定について異議がある場合、人間が関与することを求める権利があることを定めているのも大きなポイントです。
どこまでが個人データなのか
── GDPRは個人データをどのように定義づけていますか。
Copyright © ITmedia, Inc. All Rights Reserved.