【ニュースの深層】□□８６　〈ＥＵの個人情報保護〉／新規則で最大２５億円の罰金も

　欧州連合（ＥＵ）は５月２５日、欧州議会が策定した新しい個人情報保護の枠組みである「ＥＵ一般データ保護規則（ＧＤＰＲ）」を施行する。ＥＵ域内の個人情報を持つ企業はＥＵ域外を含め、原則すべてが対象となる。対象企業は、「プライバシーポリシーの作成」や「社内の個人情報の洗い出し」「社内規定の確認」といった、新たな対応を迫られることになる。実際に当局が対応の不備を指摘するのは、情報流出が起きた時だと想定される。流出が起こった時に、非対応だった企業は直ちに違法と判断され、最大２０００万ユーロ（約２５億円）の罰金が科される可能性がある。


■対応の機運高まらず

　ＧＤＰＲは、サイバー攻撃などによる個人情報流出のリスクの高まりを背景に策定された。個人が自分のデータを保護・コントロールできるようにすることが目的。企業が対応すべき内容や、情報流出事案発生時の当局の対応などを、条文として規定している。非対応企業には、最大で２０００万ユーロもしくは、対象企業の前年度の全世界売上高の４％が、制裁金として課されることになる。違反企業や事案によっては、罰金が２０００万ユーロを超えることもあり得る。
　ＧＤＰＲへの対応が必要となる企業の範囲は（１）ＥＥＡ（ＥＵに加盟する２８カ国とアイスランド、リヒテンシュタイン、ノルウェー）の域内に拠点を持つ企業（２）ＥＥＡの域外の拠点からＥＥＡ域内の本人に対して商品・サービスを提供する企業─の２種類だ。
　（１）について、ＧＤＰＲに詳しい西村あさひ法律事務所の石川智也弁護士に話を聞いたところ、「現地に拠点を置く日本の大手企業でも、対応の機運がまだ高まっていない」と話す。ＧＤＰＲに対応するには、顧客や従業員など、ＥＥＡの域内に居住し、自社で管理しているすべての個人データについて、対応を明確にしなければならない。ただ、年間で決められた予算の中から、ＧＤＰＲの対応費用を計上するのが難しいという理由で、対応が遅れている日本企業も少なくないという。
　ＧＤＰＲでは主に「プライバシーポリシーを作成し、本人がアクセスできる状況に置く」「本人の同意を得て個人データを取得している場合には、ＧＤＰＲのガイドラインが示す項目に基づいて同意を得ているかを確認する」といった対応を求めている。
　対応をしていなかったからといって、すぐに当局から指摘を受けるわけではない。ただ、サイバー攻撃などによる情報流出があった際に、対応していないことが判明した場合、罰則が科されることになる。
　石川弁護士は、「域内に拠点を持つ企業にとって、自社が扱っている、あらゆる個人データを洗い出すことが必要になる。大手ほど対応コストが大きくなるだろう」と話す。対応すべき個人データの範囲は、従業員、顧客、取引先の名刺にも及ぶという。


■越境ＥＣも一部対象に

　（２）について、日本からＥＵの顧客に向けて商品を発送する越境ＥＣ企業も対象になる。対応の条件として、ＥＵ向けに言語対応していたり、ＥＵの顧客数が多かったり、「企業にＥＵに向けて商品を提供する意思が明白である」と判断される場合、対応が必要になるという。
　ただ、そうした日本のＥＣ企業が、対応の不備に関する指摘を、当局からすぐに受ける可能性は低そうだ。石川弁護士は、「当局はより重大な問題から規制に取り組むことになるだろう。例えば日本で情報漏えいがあった際に、その中にＥＵの顧客情報が含まれていたとしても、現地当局がどれだけ優先して対応するかは分からない」と話す。
　日本通信販売協会の西郷裕二次長はＧＤＰＲについて、「現状会員企業からは、質問や相談の声はない。７月に、個人情報保護委員会の担当者を招いて勉強会を開く予定だが、その際にＧＤＰＲについても合わせて話をしてもらうことを予定している」と話している。