EUがプライバシー保護の規則をさらに厳格化した理由

欧州連合(EU)在住者のプライバシー保護に関する新たな規則「一般データ保護規則(General Data Protection Regulation:GDPR)が 、2018年5月にいよいよ施行される。GDPRは個人データの処理と移転に関するルールを定めた規則であり、1995年に適用されたEUデータ保護指令に代わり、EU加盟諸国に対して直接効力が発生する法規制となる。GDPRでは、EUデータ保護指令で求められていた個人データ保護の内容に加えて次のような要件が定められている。

  • 「データ保護オフィサー」の設置とデータ保護影響評価の実勢体制の整備
  • 欧州経済域(EEA)内在住者の個人データが漏えいした際に監督当局に対し72時間以内の報告義務
  • 個人データの取り扱いに関する一定の記録の作成と保管
  • EEA在住者の個人データのEU域外への国際移転の引き続いての原則禁止
  • 本人の同意取得と証跡の保存に関する要件の厳格化

そもそもこのような規則が制定されたのはどのような背景からなのか。今回、KPMG コンサルティング サイバーセキュリティアドバイザリーグループ/ディレクターの大洞健治郎氏は、以下のような見解を示す。

  • KPMG コンサルティング サイバーセキュリティアドバイザリーグループ/ディレクター 大洞健治郎氏

「EUデータ保護指令で個人情報保護の方針は示されていましたが、EU加盟国の間で保護のレベルに差異がありました。このままでは、これから個人情報の国境を越えた活用が進む中で不都合が生じるおそれがあるため、保護レベルが統一されたDigital Single Marketを実現することが、GDPR制定の目的となりました。一方で、ITによる新たな個人データの取り扱いが進む中で、個人のプライバシーを保護していくこともGDPRの目的となっています。ただし、データ保護オフィサーの設置基準など、一部の条件は各国の裁量で決めることのできる余地も残されています」

GDPRに対応するために必要となる要件は、前述のように法令で定められているので、どこの企業でもほぼ共通したものとなるが、実際に規制対応を進めていくには、各社の事情に応じた内部統制の構築が必要になってくる。「そこが難しいところです」と大洞氏は指摘する。

「要件の1つに、72時間以内に当局に報告しなければならないとありますが、社内のルールとして報告義務を定めることは簡単であっても、実際に72時間以内に報告できるのかとなると難しいはずです。例えば、社員が業務用のスマートフォンを紛失したら、そこに個人情報が入っていたかもしれませんし、カバンをなくしても同じようなことが言えるでしょう。こうした日常的に起こりうるセキュリティインシデントの中で、どういうケースが当局への報告対象となり、どういうものであれば当局への報告義務に当たらないのか。現場の判断にゆだねるのみでは難しく、本来なら報告すべきなのに報告できなかった"というリスクも生じます」

さらに、報告しなければならない項目を決めたとしても、どうやって情報を収集しておくかも決まっていなければ、報告書を作成する時間が確保できないおそれがある。

「法令を遵守した報告を可能にするには、当局通知要否の判断基準や報告・連絡のルートなどのルールを決めて、従業員に周知・徹底する必要があるでしょうし、報告に必要となる情報収集の方法や日頃の管理方法も決めておかないといけません。このように、業務ルールまでを含めて考えないといけないので、GDPR対応には手間がかかるのです」(大洞氏)

まずは最低限必要なところをカバーする

現実的なGDPR対応に求められる厳しい内容を聞くと、圧倒される担当者も多いと思われる。だが、大洞氏は「本当に最低限実施しなければならない事項となると、比較的シンプルに整理できるので、必要以上に構える必要はないでしょう」と助言する。

日本の個人情報保護法を守るのと同様に、GDPR対応においても基本的にやるべきことは、守るべきルールを決め、それを周知し、そして実際に守ることとなる。ただしそのためにはまず、欧州の顧客等の個人データをグループ内の誰がどこでどのように扱っているかについて、改めて調査をする必要がある。

調査が必要となる最大の理由は、どこでどのような目的で個人情報を取り扱っており、どこに委託しているのかなど、GDPRには情報の処理に関する記録義務があるためだ。この義務を果たすために、グループ全体で情報の処理や記録に関する調査が必須となるのだ。また、域外移転については、EUの定めた標準契約の締結等による保護も必要となる。

また、確実にGDPRを遵守するとなれば、すべての従業員にすべての法律を理解してもらい、そのとおりに行動してもらわなければならなくなるが、従業員に依存する方法は現実的とは言えない。そこで大洞氏が推奨するのが、「SOP(Standard Operating Procedure:標準作業手続き)」を定めておくことである。事前に業務の手順や使用する文書様式などを細かく定めておき、その手順に従っている限りは法令違反のおそれがないようにしておくのだ。

「標準的な業務の手順書や様式を整えておいて日頃の業務を回す。これが、より実践的で踏み込んだGDPR対応と言えます。例えば、個人データの利用取得に同意してもらう場合も、法令上は、事前にこういう情報を伝えておかなければならないと定められていますが、現場の一人ひとりがそれらをすべて理解したうえで対応するというのは難しいでしょう。そこで、会社として提示すべき書類の雛形を用意しておき、原則としてそれを使用するようルールを決めておくのです」と大洞氏は言う。

5月25日というGDPRの施行時期を考えれば本来であればすべての企業がここまでできているべきではあるが、そうではない企業も多いはずだ。そうした企業に向けて大洞氏は次のようにアドバイスする。

「少なくとも5月25日の施行までにルールだけは決めて周知を行い、現場への研修・教育はその後に行うとか、それでも間に合わないようなら、こういう方針でルールを決めて教育をするという方針・計画は決まっている状態にしておくなど、現状の会社のリソースで可能な範囲で前に進めておくことが大事です」

  • 最短でGDPR対応のゴールに到達するための現実的なアプローチの案 資料:KPMGコンサルティング