SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

EUデータ保護規制と改正個人情報保護法、どう対応すべきか


 7月19日、デロイトトーマツサイバーセキュリティ先端研究所は「EUと日本における新しい個人情報保護制度」セミナー開催を開催した。EUでは2年後に一般データ保護規則(GDPR)が適用開始となり、日本では昨年改正個人情報保護法が成立した。企業が行うべきポイントを専門家を交えて解説した。

 個人情報保護に関する法律が世界各地で着々と整備され、企業は対応していかなくてはならない。ただし実際のところ、まだ不明瞭なところもあり、判断に迷うことも多い。そういいつつも、何かを待っていたら手遅れになりかねない。

 まずは最新動向として、EUの「一般データ保護規則(以下、GDPR)」についてはウィルマーヘイル法律事務所 弁護士 杉本武重氏、日本の改正個人情報保護法とEU十分性認定についてはひかり総合法律事務所 弁護士 板倉陽一郎氏が解説した。実際のセミナーは相当詳細に踏み込んだものの、ここではポイントをピックアップする。

EUのGDPR:基本理念、重要用語、義務、Brexitの影響

杉本弁護士
杉本弁護士

 EUのGDPRはEU全体にかかる個人情報に関するデータ保護法だ。現状の「EUデータ保護指令」はEU加盟各国ごとに異なっていたところ、EU全体で共通のものに置き換えることになる。2018年5月25日から適用開始となり、以降は加盟各国のデータ保護法は廃止となる。

 GDPRは制裁金の大きさなど、規制の厳しさが目立つ。その理由は、GDPRの大前提が民主主義で重要視される基本的人権保護を目的としているから。基本的人権という重要な価値を保護するため、厳重かつ厳重になるというわけだ。GDPRの中身は個人データの処理と移転に関して満たすべき法的要件について定められている。例えばクレジットカード情報を保管する、メールアドレスを収集するなどが個人データの処理にあたる。個人データを第三国へ移動することが移転にあたり、第三国から閲覧する行為も含まれる。

 重要な用語がいくつかある。「個人データ」とは個人(法律用語では「自然人」)に関する情報、「仮名化データ」はデータ主体が分からないように処理された個人データ、「匿名化データ」は暗号化されかつ鍵が破棄されているなどのデータで、元が個人データであっても個人データから除外される。ほかにも「データ主体」、「管理者」、「処理者」、GDPRの適用範囲などが規則で細かく定義されている。

 杉本弁護士は重要事項としていくつかの役割を選任する義務を説明した。「EU代表者を選任する義務(第27条)」はEU域内に拠点を持たない企業で一定の条件を満たすとこの義務が発生する。「データ保護責任者」はデータ保護の任務を遂行する役割で、条件を満たすと義務が発生する。いずれも怠ると高額な制裁金の対象となるため要注意だ。

 いわゆる「Brexit」、イギリスのEU離脱の影響はまだ不透明だ。脱退時期はどんなに早くともGDPR適用開始後となるため「イギリスに対しても適用される期間がある」と杉本弁護士は指摘する。脱退後、イギリスがEUの外となれば「移転」に関わる可能性が考えられる。十分性認定を得る可能性も高いが、いずれにしても現時点では分からない。

 GDPRは「2018年だからまだ先」と思えるものの、油断はできない。最近アメリカとEU間のセーフハーバーが(猶予期間も終わり)無効になり、ハンブルグのデータ保護当局が未対応のアメリカ企業に制裁金を課したことがあったからだ。まだ無効直後なので制裁金も少なめで注意喚起の意味合いが強そうだ。

 なおGDPRの作業部会は2016年末までにガイドラインを作成する予定。まだ出ていないものの、これは重要な指針となりそうなので今後注視したほうがよさそうだ。

日本の改正個人情報保護法:改正のポイントとEUの十分性認定

板倉弁護士
板倉弁護士

 日本では2015年に改正個人情報保護法が成立した。ポイントとしては個人情報の定義の明確化、各種規定の整備、罰則の新設、個人情報保護委員会の新設、主務大臣の権限を一元化などが挙げられる。「明確化」とされる個人情報の定義や、「要配慮個人情報」や「匿名加工情報」など新設された各種規定についてはよく確認しておいたほうがいいだろう。

 改正個人情報保護法にも国境を越える場合の規定がある。先述したGDPRと関連してグローバル企業ではデータの保管場所や処理により、該当するルールに則っているかどうか確認しておく必要がある。

 また気になるのが日本がEUの十分性認定を得られるかどうかだ。EUから日本へデータを移転するとなると、現状でもGDPR適用後でも企業には重い負担が課せられている。これが解決できるかどうかの鍵となるのが十分性認定だ。

 十分性認定とは、EUが個人データの十分な保護措置が確保されている国や地域であると認定すること。もし日本がEUから十分性認定を取得することができれば、企業の負担は軽くなる。しかし現時点では取得の見通しはたっていない。ただし実は改正個人情報保護法はEUの十分性認定取得を目指していることも背景にあり、努力はしているところ。楽観はできないものの、動向を注視しておきたい。

次のページ
実務的な対応はどのように進めるべきか

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8341 2016/08/10 13:04

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング