2019912日に「個人情報保護委員会」により、個人情報保護をめぐる国内外の動向として、GDPRの運用・対応状況について公表されました。

本記事では、上記の資料を参照し、新たに導入された「プロファイリング」「データポータビリティの権利」のポイントについて解説していきます。

※出典:第119回 個人情報保護委員会 https://www.ppc.go.jp/aboutus/minutes/2019/20190912/

GDPRとは何か?日本企業への影響について


GDPRは、「一般データ保護規則」の略称で、EU地域における個人情報保護に関わる法規制として、20164月に欧州議会本会議にて採択され20185月に施行されました。主な条項として、個人情報の厳格な管理体制や説明責任の要求、制裁・罰則の強化といった厳しい規制が織り込まれている点が特徴です。


GDPRが適用される範囲はEU地域の事業者だけでなく、EUの個人データを取り扱っている全世界の事業者にも適用されるため、日本企業にも影響します。つまり、多くの日本企業にも遵守が求められる法規制であるため、その動向に注視する国内の事業者は少なくありません。遵守を怠った場合は高額な制裁金が課せられるとともに、EU地域でのビジネスに支障をきたすリスクも考えられます。


まずは、自社においてGDPRの対象となる個人データの取り扱いがあるかどうかを把握することが重要です。取り扱いがある場合、どのような管理や処理を行なっているのかを確認し、それに対して自社に及ぶ影響や対応すべきことなど、一つ一つ見極めていく必要があるでしょう。


個人情報を保護するために規制強化を進める動きは、今やEUに限らず世界的な潮流といえるでしょう。その先鋒を行くGDPRは、プライバシー保護のグローバルスタンダードとして位置づけられています。


個人データや顧客データをグローバル規模でビジネスに活用したい事業者にとって、GDPRを理解し、遵守することは、コンプライアンスにおいて欠かせない取り組みになるでしょう。

 

GDPRの動向:プロファイリングとデータポータビリティの権利について


ここでは「個人情報保護委員会」が公表している資料を参照し、GDPRにおいて新たに導入された「プロファイリング規制」「データポータビリティの権利」のポイントについて解説します。

※出典:第119回 個人情報保護委員会 https://www.ppc.go.jp/aboutus/minutes/2019/20190912/

プロファイリングとは?EUの動向について


プロファイリングとは、さまざまな行動記録から個人データを集め、特定の個人の趣味嗜好や属性などを予測することです。Webサイトの閲覧履歴やGPSの位置情報からプロファイリングされた個人データが、マーケティングやターゲティング広告などに利用されることは、今や一般的なビジネスモデルといえるでしょう。


GDPRでは、プロファイリングの定義を「自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱い」(第4条第4項)と定義しています。

 

GDPRのプロファイリング規制については、他の取扱いと同様に基本原則を遵守しつつ、取扱いの適法性を確認し、データ主体の権利に対応することが求められるものの、主に第 21 条の「異議を述べる権利」と第 22 条の「プロファイリングを含む個人に対する自動化された意思決定」で規定されています。

 

EU企業が行っているプロファイリングは「顧客」と「従業員」を対象とするものとに大きく2分され、その多くの事例として、「与信目的」・「採用目的」・「マーケティング」への活用が挙げられます。

 

調査結果では、同じ個人データの取り扱いの場合でも企業やデータ保護機関が認識する法的根拠に違いがあるなど対応は様々であり、EU企業側も説明責任を果たすため試行錯誤している状況ですが、現時点では、データ主体からの苦情も相対的に多くなく、異議を述べる権利を行使した状況は本調査では確認されていないとのことです。

 

また、GDPRではプロファイリングについて、透明性の確保や厳格な説明責任も企業に課しています。

 

そのため、プロファイリングとみなされる個人データ収集時には、プロファイリングの使用目的をしっかり明記することが必要です。透明性の確保についても、企業として大きな負担をかけることのない対策が今後は課題となってくるでしょう。

データポータビリティ権のメリットとは?EUと日本の動向

 

データポータビリティとは、企業が管理している特定の個人のデータを、他のサービスに再利用したり、別の企業に持ち運びしたりすることを指します。これをいわゆる「データポータビリティ権」として行使することで、個人データを持ち出して、異なるサービス間で運用することや、異なる管理者間に移転させることが可能となります。

 

GDPRでは、データポータビリティ権は導入されているものの、十分にルールが確立されておらず、実質的にまだ効力を発揮しているとはいえない状況のようです。

 

しかし、データポータビリティ権の行使は消費者や事業者のメリットに伴う産業の活性化という側面も含まれます。

 

消費者のメリットとしては、Webでのサービスを利用する際、サービスの選択肢が広がることです。事業者間のサービス競争によって、消費者が経済的な利益を得やすくなる機会は増えていくでしょう。一方、事業者のメリットは、新たなサービスを始めようとするとき、別の事業者が時間とコストをかけて集めた個人データを自社に移転させることで、コストを抑えてスタートすることができるようになります。

 

産業の活性化を目指して、日本においてもデータポータビリティ権の検討は進められており、総務省と経済産業省が共同で調査検討会を開始しています。運用のきざしが見られるのは、今のところ携帯電話のナンバーポータビリティ制度を導入した通信業界や、金融、医療など、限定した分野のみです。

 

今後はEU諸外国の動向調査や課題点を見極めながら、運用の広がりが模索されていくでしょう。

個人情報保護改正のポイントやGDPRの動向を踏まえ、事業者としての取り組みを整理しよう!


調査結果からGDPRで新たに導入された「プロファイリング規制」と「データポータビリティの権利」の運用状況に関して、EUでも未だ試行錯誤であることがうかがえます。


しかし、日本企業にも少なからず影響を与えるGDPRの運用状況は、今後の我が国の個人情報保護法の動きを捉える上でも、おさえておきたい情報といえるのではないでしょうか。