GDPRガイドブック EU一般データ保護規則活用法

GDPR (General Data Protection Regulation)が2018年5月にヨーロッパで施行された。本書はもしかしたらこれは大変なことになるのではと注目を集めるGDPRについて解説したものだ。 「Regulation」とはEUの法制度の中では、「Opinion」、「Decision」、「Recommendation」、「Directive」よりも強いものであり、EU加盟国の国内法によらず適用されるものである。GDPRの内容が正確に理解されていないこともあるが、個人データの厳密な取り扱いを定めて、EU加盟国内に従業員や顧客がいれば例外あるが対象になり、制裁金による罰則も厳しく、日本企業は脅威として認識されていることも多い。また、データ保護責任者(DPO)を任命することが必要とされていたり、運用についても必要なことが規定されている。しかし、著者はこれを機会と捉えるべきだと言う。GDPRの基準に沿うことが、その企業の個人情報保護対策のレベルを示すことになり、競争力を得ることができるというわけだ。 GDPRでは、個人情報は個人に属するということが原則になる。具体的には、同意した以外のデータ処理を制限する権利と、データの消去を要求する権利、いわゆる忘れられる検権利、が個人には付与されることになる。データポータビリティについても法律の上でも可能となる。また、個人情報の漏洩が発生した場合には、直ちに報告をする義務を負う。データポータビリティを含めていわゆるGAFA対策とも言われることが多いのだが、個人情報の利用は企業ではなく個人がその権利を有することを明確化したことは意義がある。今後、他国でも広がる可能性があると言う。 域外へのデータ移転は、EUが安全と認定した国に限られる。この本執筆時点では日本がその候補に入っていなかったが、2018年9月には日本もこの十分性認定を取得する方向で進められていることが報道されている。 しっかりと理解をしなくてはならないものと改めて理解した。

単なるGDPRの解説書というよりは、具体的にEU加盟国で取り組んでいる対策事例を散りばめた「実践本」と言えます。 現時点では日本がGDPRの十分性認定に採択されるかどうかは定かではありません。仮に十分性が採択されたとしても、GPDRが規定する規則をガイドラインとして遵守することで、個人情報の活用においてアドバンテージが得られることには変わりないと思います。 本書にもありますが、GDPRにおける重要なキーワードは「技術的および組織的対応」です。これは、「セキュリティ対策」と「ガバナンスおよび教育」のことに他なりません。 データ社会の中でデータ主体の権利を保護しつつ、個人情報をビジネス競争力の源泉に転換するためにも、適切なデータ保護対策とガバナンスの強化が必要です。