2018年5月から適用開始となるGDPRですべきこと
近年では世界各地で個人データ保護に関する法整備が進んでいる。これまでEUでは個人データ保護指令が存在したが、指令の下に各国法が定められており、細かい手続きなどでは国毎に差があるため対応コストが必要以上に膨らむという問題点があった。
2018年には現行の各国法はGDPRに置き換わり、統一的な規則を定めることにより、この問題は解決に向かう。日本では個人情報保護法が改正されたところであり、アメリカには個別法があり、ほかにもAPECではプライバシーフレームワークなどがある。グローバルにデータを扱うにはこれらの法制度に対応していかなくてはならない。
出所:デロイトトーマツリスクサービス株式会社 Security Online Day 2016 講演資料より
[クリックすると図が拡大します]
GDPRについてあらためて確認していこう。先述したように現行のEUデータ保護指令から統一的な規則へと置き換わるものだ。EU全体に適用されるため手続きの効率化や簡素化が見込めるものの、より厳格な規則に変わったため注意が必要だ。厳格化の理由にはGDPRでは個人データ保護を基本的人権とみなしているところが大きい。
厳格化で顕著なのが制裁金である。北野氏も最初に目にした時は“誤植”を疑ったという。GDPRで制裁金はかなり高く設定されている。制裁金で高いものは「企業の全世界年間売上高の4%以下、または2,000万ユーロ(約23億円)のいずれか高い方」と定められている。これに該当するのが、個人データの処理の原則を遵守しなかった場合、同意の条件を遵守しなかった場合、データ主体の権利およびその行使の手順を尊重しなかった場合、監督機関の命令に従わなかった場合など、規則で定める義務に違反した場合だ。
もう現時点ではGDPRの適用開始まであと2年を切っている。違反とみなされないようにデータ分析システムや人事システムを改修するなら、時間的な猶予はあまり残されていない。北野氏はグローバルな事業者にとって重要なポイントを5つ挙げた。
1.域外移転規則:欧州経済領域から域外へ個人情報を移転するときの規則
原則として、EU内の個人データは域外への移転は禁止されている。データを外に持ち出してはいけないということだ。域外移転をする場合には「明確な同意の取得」、「拘束的企業準則(BCR)」、「標準契約(SDPC) 」などの方法があるものの、北野氏は「今は多くの事業者がSDPCを締結しています」と話す。実務的には、明確な同意では不便な場合があり、BCRはコストが高いことから、現時点ではSDPC一択という状態だ。将来的には 認証機関により認証を受けることも可能性としてあるものの、肝心の認証機関はこれから設置される予定で詳細未定という段階だ。
2. 説明責任:原則を遵守していることをデータ保護機関に説明できるようにしておく
ここで特に重要になるのが個人データを処理することについて、各種の原則に従っている事を説明できるようにしておくことだ。例えば、データ主体から明確な同意を得ていることを説明できるようにしておく必要がある。よくWebサイトにあるような[同意して次に進む]と[キャンセル]ボタンしかない程度ではユーザーは説明文をよく確認せずにクリックしてしまいがちだ。そのためデフォルトは[同意しない]にしておくとか、チェックボックスにチェックをしないと次に進めないようにするなど(あくまで例なのでこれで十分という保障はない)、ユーザーが何らかの明示的アクションを行わせるようにして「明確に同意をもらっている」と説明できるようにすること。ほかにも同意の条件が適切であることも説明できるようにしておかなくてはならない。
3. 遵守するための対策の実施:データの仮名化や責任者の任命など
企業がとるべき組織的な対応として、データ保護責任者(DPO)の選任が挙げられる。この役割についてはデータ保護法や実務の専門知識があることが選任の条件として定められており、地位や任務も細かく定められている。またEU域内に本社や子会社が存在しなくてもEU域内の個人データを収集しているなら、EU内に連絡窓口となる代理人を選任することも定められている。
4. データセキュリティに関する義務:監督機関、データ主体への通知や保護評価実施など
ここは技術的または組織的な対策となる。適切なセキュリティレベルを確保するために仮名化や暗号化などの措置を実施すること、もし侵害が発生した場合には「不当な遅滞なく、可能な場合には侵害に気づいてから72時間以内に監督機関と本人へ通知する義務」などが定められている。特に後者は72時間以内に対応するためには、あらかじめ組織内でどのような手順で誰が判断するかを定め、かつ予行訓練をしておく必要がある。そうでないと守るのは難しいだろう。
5. データ主体の権利の尊重:削除権やデータポータビリティなど
GDPRではデータ主体の権利として、同意の有効性の関する権利、(個人データの処理に関する)制限権、削除(を求める)権などが定められている。なかでも判例を経て新たに認められた権利がある。その1つが削除権、言い換えると「忘れられる権利」である。契機となったのは2014年にEU司法裁判所がグーグルに対して個人に関する過去の情報をプライバシー侵害とみなし、検索結果の削除を命じたことである。GDPRでは一定の条件を満たした場合に、個人データの削除やデータのさらなる拡散を停止させる権利を認めている。もう1つはデータポータビリティの権利。個人データの保護と利活用を両立しようとする権利だ。
