5月25日、EUにおいてGDPR(General Data Protection Reguration:一般データ保護規則)が正式に施行された。GDPRは、EUにおける個人情報保護について、加盟各国の法律のばらつきを統一した基準を作り、域内での情報の保護・流通を適正化・促進させるための法律だ。本来の趣旨は、プライバシーを含む個人情報の適切な保護と流通を両立させるものだが、EU圏内のデータが圏外にでるときの規制や罰則が世界に波紋を呼んでいる。
制裁金は最大約26億円もしくはグローバル売上の4%
例えば、EU圏内に顧客がいるECサイトや、現地法人を持つ企業などは、EUに加盟していなくてもGDPRの規制を受けることになる。GDPRに則った方法でなければ、顧客情報の収集、現地従業員名簿の作成(EU圏外サーバへの移転が伴う場合)ができない。旅行や出張でEU圏内に訪れている人の情報が圏外に出る場合も対象となる。加えて、違反には膨大な制裁金が科せられる。
制裁金は、最大でグローバルでの売り上げの4%、もしくは2000万ユーロ(約26億円)のうち高い金額となっている。GDPRはデータ保護に関する規定のため、データを扱う企業や組織の規模や運営形態の例外もほとんどない。零細企業、NGO、政府機関、大企業も個人情報やプライバシー情報を扱う限りGDPRに違反した場合は制裁の対象となる。
以上の状況を受け、連日のように関連のニュースが流れ、現在多くの国内企業がGDPR対応に追われている。
と、ここまではある意味よくある光景だ。どの業界でも新しい法律が施行されると、マスコミやコンサル業界が煽りたて、関連書市場が活発になり、財力や情報力がない企業や組織が翻弄される。GDPRも、法制化の議論は以前からあり、法令の発行そのものは2016年に行われている。感度の高い企業はそのころから対応を進めており、施行時点の状況は想定済みだろう。
