GDPRがやってくる

山本 直樹 PwCコンサルティング合同会社
パートナー
サイバーセキュリティ・アンド・プライバシー・リーダー

コンサルティング業界で約20年の業務経験を持ち、金融機関や大手製造業などに対して、サイバーセキュリティ、個人情報管理、ITガバナンス、アイデンティティ管理、事業継続管理、IT組織改革などの幅広い分野のサービスを提供。PwC以前には、外資系コンピューターメーカーの情報セキュリティ統括責任者として、情報セキュリティ管理、顧客情報のプライバシー保護、インシデントレスポンス、事業継続管理、SOX法対応に従事した実務経験も持つ。CISA(公認情報システム監査人)、CIA(公認内部監査人)

 昨年春に欧州委員会にて採択されて以来、国内でもじわじわと注目を集めるGDPR(EU一般データ保護規則)。遠いヨーロッパのことだから日本の本社には関係ないという誤解もいまだに散見されるが、違反時には年間売上の4%または2000万ユーロのいずれか高い方という高額な制裁金が課される可能性があり、財務的なインパクトや評判リスクの大きさは計り知れない。また、ライバル企業の訴訟戦略に巻き込まれるリスクもあり、対応の遅れは命取りになる。

 GDPRの特徴の一つに「域外適用」という考え方がある。GDPRは、EUで成立したEUの法律であるにもかかわらず、日本を含むEU域外の企業にも適用されてしまうのだ。日本企業の中には、「ヨーロッパに拠点があり現地に従業員がいる」「ヨーロッパの消費者向けにサービスを提供している」「世界中の従業員情報をクラウドベースの人事システムで一元管理している」「ヨーロッパのデータセンターにある個人情報データベースに日本からアクセスしている」「もともと日本国内向けのサービスだったが、今ではヨーロッパからの訪日客も頻繁に活用している」等、さまざまな観点でGDPRの適用対象となる企業が多く存在するはずだ。

GDPRが生まれた背景

 ヨーロッパでは従来からプライバシーに対する意識が強かった。例えば、社員が業務時間中に会社のPCを使ってどのようなWebサイトにアクセスしているのか、システム上のログを取って会社が監視しようとする。これが日本であれば、社員側も、業務に関係ないことをすべきでないという意識が強く、予めルールさえ決めておけば大きな問題に発展することはない。

 ところが、ヨーロッパでは、会社から監視を受けること自体に大きな抵抗があるようだ。歴史を紐解けば、特定の宗教や民族が迫害を受けた暗い過去もあり、政府や企業等の強大な権力から、弱者である個人が監視を受けることに対して、過敏に反応する人が多いのは自然なことなのかもしれない。

 GDPRは、長年の議論の末、昨年ついに採択され、2018年5月施行という明確な期限が設けられた。これを機に、日本でもにわかに大きな話題となっているのだが、GDPRの前身である「一般個人データ保護指令」は、1995年の時点で採択されており、今から20年以上前には、GDPRの骨格はできあがっていたことになる。しかし、その規制をさらに強化しなければならなくなった昨今の事情を理解する必要がある。