『週刊ダイヤモンド』6月2日号第1特集は「個人情報規制 GDPRの脅威」です。5月25日、欧州発の個人データ保護に関わる新しい法規制、GDPR(一般データ保護規則)が施行されました。多くの日本企業が適用の対象になり、違反すれば最高で数十億円以上の巨額の制裁金が科せられます。ところが、日本企業の対策は周回遅れの状況です。

欧州はついに米国のゴーグルやフェイスブックと“一戦”を交える覚悟と決めた
Photo:iStock/gettyimages

「欧州が、米国のグーグルやフェイスブックと、“一戦”を交える覚悟を決めたということ」──。

 個人データ保護に詳しいある識者は、欧州連合(EU)が5月25日に施行した「一般データ保護規則(General Data Protection Regulation:GDPR)」の真の狙いをそう指摘する。

 GDPRとは、1995年に採択された「EUデータ保護指令」に代わる形で2016年に採択された、新たな個人データ保護の法律だ。EU加盟国に欧州3ヵ国を加えたEEA(欧州経済領域)域内31ヵ国に所在する、全ての個人データの保護を基本的人権と位置付けて、大幅な規制強化が図られた。

 GDPRは、個人の名前や住所などはもちろん、IPアドレスやクッキーといった、インターネットにおける情報までも網羅的に「個人データ」に含め、その処理(収集や保管)に類を見ない厳格な順守を求めている。個人データのEEA“域外”への持ち出しは原則禁止。そして、違反者には最高で、世界売上高の4%か2000万ユーロ(約26億円)のうち、いずれか高い方という超巨額の制裁金が科せられる。

 制裁金の額と合わせ、世界中の企業を震え上がらせているのは、この法律がその事業規模や本社が所在する国・地域に関係なく、EEA域内の個人データを処理するほぼ全ての組織に及ぶという点だ。

 EEA域内の個人データを処理しているのは、何も欧州の人々を相手に直接サービスを提供する宿泊・観光や運輸、ECなどの企業、現地に子会社や工場を持つグローバル企業だけではない。