巨額の罰則金が大きな影響 - 質問上の回答次第で罰則の可能性も

日本国内においてもGDPRがこれだけ話題となる理由の1つとして、大洞氏は「罰則金が大きいこと」を挙げる。

「違反した場合、最大2000万ユーロまたは売上高の4%が罰則金として科せられますので相当なインパクトがあります。そして注意すべきは、制裁を行うのが拠点のある国の当局もしくは主たる監督当局となる点です。例えば、同じドイツであっても州ごとに当局があり、それぞれの考え方には温度差があります。日本の感覚で言うと、罰則金を科されるケースというのはよほど大きな情報漏洩事故が置きたり、消費者から通報があったりした場合のみといったイメージかもしれません。しかし、欧州では当局のスタンスにより、当局から主要企業へ質問状が送付されるケースもあり、その回答内容によって当局側が点検を行い、その結果として罰則金を科せられる可能性もあります」(大洞氏)

  • 法令違反時に想定される企業等への影響 資料:KPMGコンサルティング

日本政府が急ぐ「十分性認定」の取得

このように対応面でも罰則においても厳しい内容のGDPRだが、日本政府は2018年早期の「十分性認定」のEUからの取得を目指している。個人データ保護レベルについての「十分性認定」が国家間に存在すれば、相互の個人データの自由な流通は保障されることになるため、企業の負担も軽減される。

個人情報保護委員会が示したガイドライン策定の方針文書では、十分性認定を受けるための5項目が記されているが、この内容に日本の法令とGDPRの各種定義の差が多く記載されているという。その一例がセンシティブ情報に関する定義だ。例えば労働組合に関する情報は欧州ではセンシティブ情報に含まれるが日本では明確には含まれていない。

「日本企業が十分性認定を受けるには、欧州の定義に合わせた個人データの管理が求められると予想されます。また、国内の多くの企業が十分性認定の取得を望んでいますが、気を付けなければいけないのは、自由になるのはあくまでデータの移転に関してのみということです。先述したようなデータの処理に関する記録義務やデータ保護オフィサーの設置などは、依然として守る義務があります。十分性認定が得られたからといって、自由に個人データを扱えるというわけではないのです」と大洞氏は注意を促す。

GDPR規制を企業の強みにするために

とかく法規制への対応と言うと「やらねばならないので仕方なくやる」といったスタンスになりがちだが、GDPR対応はむしろ自社に競争優位をもたらすチャンスでもあるという。

「今後のビジネスを行っていくうえで必要になってくるであろう"個人の権利の保護の仕組み"を要求しているのがGDPRです。この規則の大前提としてあるのが、これからの世の中では個人データの取り扱い方が今までとは大きく変わってくるという展望です」と大洞氏は言う。

例えば、ポイントカードを作ったら会員IDつまりその人の識別子ができて、購入履歴やWebの閲覧履歴さらには生体センサーからのデータなど様々な情報と紐づいて結合されていく。つまり、個人データが紐付けの連鎖によりビッグデータとなっていくわけだ。このビッグデータをAIで分析したり、分析専門の企業がプロファイリングしたりするようになってきた時、個人のプライバシーをどう守ればいいのか──将来生じる問題をそこまで見通して、いわば先手を打った規則がGDPRと言えるのである。

「そのため、今のうちにしっかりと対応する仕組みをつくっておけば、これから先、個人データを保護するだけではなく、個人データをビジネスに活かしていくステップに入った時に、規制対応が足を引っ張って競争力を阻害するような事態にはなりません。今、まさに世界各国で個人データ保護に関する規則が変わりつつありますが、欧州がその最先端を走っていることを思えば、GDPRにしっかり対応することのメリットが自ずと見えてくるはずです」と大洞氏は強調する。