GDPR施行により世界のプライバシー・データ保護はどう変化する？

EUで施行されたGDPR。プライバシー・データ保護の新たな基準となり、企業の情報管理や各国の法令に大きな影響を及ぼしています。その流れは、欧州やアメリカだけでなく、アジア圏にまで広がっています。

ここでは、世界におけるプライバシー保護の認識を変えたGDPRの概要、およびGDPR施行により世界にどのような変化が起こっているのかを説明します。

1. GDPR（EU一般データ保護規則）の概要

GDPR（EU一般データ保護規則）は、EUで2018年5月に施行された個人データ保護のための法律です。従来の法令に比べて規定や罰則が厳しく、保護対象とする情報は氏名や生年月日などの直接個人を識別できるデータはもちろん、IPアドレスやCookieなどのオンライン識別子にまで及びます。

具体的に、保護すべき個人データは以下のように定義されています。

(1) 「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照するこ とによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示 す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

出典：個人情報保護委員会「一般データ保護規則（GDPR）の条文」

GDPRでは、上記の定義に当てはまる個人データを取得する際、データを取得する事業者がユーザーにデータの利用目的や保管期間を示し、そのうえで同意を得ることを必須としています。また、仮に何らかの攻撃によって情報漏えいが発生した場合、その事実を把握してから72時間以内に監督機関へ報告しなければなりません。

規定に違反した場合には重いペナルティを科せられることとなっており、最大で全世界年間売上高の4%、あるいは2,000万ユーロのうち高額な方、さらに、GDPRに違反した企業の規模、あるいは違反内容の悪質性によっては、より高額なペナルティを科せられるケースもあり、過去には数百億円規模の制裁金を支払うよう命じられた事例もありました。

日本でも、2022年11月に初めて日本企業への制裁金事例が公開されています。大手システムインテグレーション企業のNTTデータのスペイン子会社であるEVERIS/NTT Data Spain（以下、EVERIS）に対し、データ漏洩でGDPRに違反したとして、スペインデータ保護当局AEPDから6万4,000ユーロ（約930万円）の罰金を課されたのです。
こちらの事例やGDPRに違反した他事例の詳細は、以下の記事で解説しています。あわせてご参照ください。

＞＞【2022年】GDPR違反による日本企業初の制裁金事例を解説！～概要から違反の内容まで～
＞＞【2022年 日本初事例も】GDPRに違反するリスクとは？ICOが企業に制裁金を科した事例

2. GDPR施行後のプライバシーにおける基準の変化

GDPR施行以降、GDPRの適用対象となる企業では急ピッチで法令への対応に向けた体制の整備が進みました。多くの企業がGDPR対応を最優先に近いタスクとし、プライバシー保護の基準を高めたのです。

これは、GDPRが「法令」という強制力の強い規則であること、およびGDPRがペナルティとして定める制裁金が多額であったためです。

事実、ZDNet Japanの「GDPR施行から1年、世界のプライバシーとデータ保護を巡る状況をどう変えたか」では、海外の専門家が一意見として「企業にはGDPRの制裁金の額に対する恐れがあった」と述べており、その制裁金の大きさがプライバシー保護の意識を変化に導いたことは明らかです。

同記事内では、個人消費者に対して「メーリングリストに名前を残すことの同意」を得るための電子メールが殺到したこと、その同意を経て企業と個人消費者の信頼関係が一層深いものとなったことにも触れており、GDPRは企業にとっても消費者にとっても良い変化をもたらしたのだと述べられています。

また、GDPRは多くの企業に影響を与えただけでなく、のちに制定・改正された各国のプライバシー保護にまつわる法令にも多大な影響を与えており、日本の改正個人情報保護法や中国のサイバーセキュリティ法も少なからずGDPRを意識したものとなりました。

多額の制裁金を設けることそのものに賛否はあるものの、GDPRは企業、そして世界に「個人データは厳格に扱うべき」という認識を植え付けたといえるでしょう。

3. 企業に求められるプライバシー・データ保護への向き合い方

GDPRの制定から約2年後、アメリカ・カリフォルニア州でCCPA（カリフォルニア州消費者プライバシー法）が施行されました。

CCPAは、GDPRのように個人データの取得に事前の同意こそ必要としないものの、個人消費者が要求したデータの開示・削除に45日以内に対応しなければなりません。

参考：個人情報保護委員会「カリフォルニア州消費者プライバシー法（2018年）」

一方、両法令の共通点としては以下の2つが挙げられます。

• 企業に個人データの慎重な取り扱いを義務付けている
• 個人消費者が、データにまつわる強い請求権を持っている

今後は上記の2点が世界標準となり、企業は個人データの取り扱いに関して制限を受けるようになると予想されます。

また、2021年11月には中国でも初の個人情報保護法（PIPL）が施行されました。中国市場は、さまざまな業界において今後の成長が見込まれており、事業展開をしている日本企業も少なくないと思います。同法により、中国での事業継続のためには社内規定・プライバシーポリシーの見直し及び改定などが求められる可能性もあります。これを踏まえ、以下のような対策をとるのが望ましいでしょう。

• 自社に法が及ぶ範囲の確認
• 既存の規定やポリシーの見直し
• 当局の運用状況の注視
• 中国法の専門家との協力体制構築

PIPLの詳細について知りたい方は、以下の記事もあわせてご参照ください。
＞＞【2022年最新】中国の個人情報保護法(PIPL)が成立、知っておくべきポイントは？

このような世界各地におけるプライバシー保護の流れにより、現在グローバルにビジネスを展開している企業はもちろん、将来的な世界展開を想定する企業も、これからの世界標準を見越し先述の2点に配慮した対策を積極的に講じるべきでしょう。データ利用方法によりケースバイケースではありますが、たとえば、CMP（同意管理プラットフォーム）を導入し、顧客のデータ取得にともなう同意を取得することなどが重要となってきます。

また、法令遵守という側面だけでなく、個人消費者にプライバシー保護を重視している姿勢をアピールすることは、企業に信用面での大きなプラスの効果をもたらすでしょう。

4. まとめ

GDPRの施行により、プライバシー・データ保護の世界標準は少しずつハードルが高まっています。

個人データに対する認識の変化は、EUに始まりアメリカやアジア圏にも及んでいます。今後はいかなるビジネスにおいてもプライバシー保護への高い意識が求められるものと想定し、今から自社のプライバシー保護の体制を整備することをおすすめします。

公開日：2020年9月30日