2019年1月21日、Googleが5,000万ユーロ(約62億円)の制裁金を科されたというニュースが世間を賑わせた。これは、Googleが欧州連合(EU)のGDPR(General Data Protection Regulation)に違反していたとして、フランスのデータ保護機関(CNIL)が発表したもので、GoogleのようなGAFA*に代表される大手プラットフォーマーがGDPR違反に問われた初の事例であるとともに、5,000万ユーロ(約62億円)という巨額の制裁金が科されたことで二重の驚きがあった。
*GAFA(ガーファ)とは、Google、Apple、Facebook、Amazonの頭文字の総称であり、世界時価総額ランキングの上位を占める4大プラットフォーマー企業を指します。
この事例から、そもそもGDPRとは何なのか? GDPRが適用されるのはどんなケースなのか? 日本企業が気を付ける点はどこか? など、有事が起きる前にリスク回避する方法について考えておきたい。
GDPRとは何か? 制裁金や適用条件について
改めてGDPR(General Data Protection Regulation)とは何かを簡単に説明しよう。日本語では「一般データ保護規則」と言われる、EUで2018年5月25日から施行された個人情報の取扱いについての法律のことを指す。「EU内に所在する各個人が、自身の個人データをコントロールする権利を保障する」という事が原則となっている。もちろん、GDPR以前にも個人情報に関する法律はあったのだが、次の点が大きく変わった。
・IPアドレスやCookieも個人情報とみなされる。
・企業が個人情報を取得する場合、自らの身元や処理の目的、第三者提供の有無、保管期間についてユーザーに明記、同意を得なければならない。
そして、GDPRに違反した場合、最大で企業の売上の4%以下、または2,000万ユーロ以下のいずれか高い方が適用される。今回のGoogleの場合、高い方である売上の4%以下、つまり5,000万ユーロ(約62億円)という巨額の制裁金額となった。
EUの法律だからEU諸国のみに適用されると考えてよいのだろうか? 残念ながら答えはノーだ。日本企業も対象となるケースもあり、対応しなければならない。GDPRの対象となる日本企業は次のようなケースである。
・EUに子会社や支店を有している企業。
・EUに商品やサービスを提供している企業。
・EUから個人データの処理について委託を受けている企業。
上記は、EU圏内に会社がある、または事業がある場合なので対象となるのは容易に予想が付く。では、次のような場合はどうだろうか? 見落としがちなケースを見ておこう。
・EEA(European Economic Area=欧州経済領域)のデータ主体に対して商品やサービスを提供する場合。
・EEAのデータ主体の行動を監視する場合。
これはEU一般データ保護規則(GDPR)の概要にも記述がある。つまり、EU圏内にいるユーザーのWeb上の行動データを取得する場合もGDPRの範囲に含まれるということだ。例えば、御社がインバウンド向けの英訳サイトを運営していた場合、そこでCookieやIPアドレスなど個人情報を取得することは十分考えられる。それがたとえ意図した行為でなかったとしても、個人情報の処理を行わなければ罰則の対象となってしまうのである。
また、以下のような場合もGDPRの保護対象となる。
・短期出張や旅行でEEAに所在する日本人の個人データ。
例え、元々日本から移転したデータであっても、一旦EEA内に所在したデータは、EUの基準に沿ってEEA内で処理されなければならない。
GDPRの適用対象は、「国籍や居住地を問わない」EEAに所在する個人と定義されているため、出張や旅行のような短期間でもEU圏内に滞在した日本人のCookieやIPアドレスもGDPRの範囲に含まれるので注意が必要だ。
“罰則の対象となるとは思っていなかった” では済まされないことが、今回GoogleがGDPR違反に問われた事例から明らかになった。
御社がとるべき対応は? 情報ガバナンスやコンプライアンス体制の観点から
御社がグローバルビジネスを展開する企業であれば、今回罰則が科されたGoogleの事例から、どのようなケースがGDPRに抵触するのか、どのような対策を取る必要があるのかを学ばなければならなない。前項で書いたように、EUに子会社や支店があったり、商品やサービスを提供していたり、個人データの処理について委託を受けている場合でも同様だ。
厄介なことに、インバウンド向けの英訳サイトを運営している場合はCookieやIPアドレスなど個人情報を取得する可能性がある。短期出張や旅行でEEAに所在する日本人の個人データを日本に移転する場合なども罰則の対象になり得るので、うちの事業はグローバルではないから無縁と言い切れない状況になっているのだ。
個人情報をどのようにコントロールしていくかが非常に重要だと言うことがお分かりいただけただろう。
しかしながら、同時に、膨大なデータが溢れる情報化時代に生きる我々にとって、それがいかに難しいことかも痛感されたことだろう。社内独自のマニュアルを作成する程度では到底無理だ。
では、どうすれば良いのか?何から始めれば良いのか?
まずは、会社全体で「情報ガバナンス」(インフォメーション・ガバナンス)に取り組まれることをお勧めする。
企業のIT活用に監視し規律を持たせる「ITガバナンス」は2000年代から広く浸透している。ビジネス目標をどのようにしてIT目標やIT戦略に落とし込むかを考えるのがITガバナンスだ。
一方、「情報ガバナンス」はITに限らず企業内の情報すべてを監視し規律を持たせることを指す。紙ベースの情報やCD-R、DVD、音声、USB、クラウド、SNSやチャットなど社員が顧客とやり取りしたすべての情報も管理する必要がある。情報ガバナンスとは、そういった組織内にある全てを社内の情報システム部門による部分的な管理ではなく、経営者の立場から総合的に管理しコントロールすることである。
ということは、GDPR対策に取り組むうえで最も重要な情報のすべてをコントロールするということになるからだ。
そして、それを実現するために必要なのは、コンテンツ管理などのエンタープライズ情報管理(EIM)ソリューションだ。実際に、IDCはそのレポート「The role of technology in your GDPR strategy(GDPR戦略におけるテクノロジーの役割)」の中で、エンタープライズ情報管理(EIM)テクノロジーを、EU一般データ保護規則(GDPR)に準拠するための中核となるものと認識している。
さらに、エンタープライズ情報管理ソリューションを導入するメリットを追記してみよう。
・業務効率化による売り上げアップや顧客満足度の上昇につながる。
・業界におけるコンプライアンス体制を構築できる。
・訴訟を起こされた場合、迅速かつ適切な対応を取る準備が整えられる。
まとめ
GoogleがGDPRに違反して巨額の制裁金を科された今回のニュースを受けて、GDPRとは何か? どのような時に適用されるのか? どのような対策をとるべきなのか? について解説した。
GDPR以外にも、個人情報保護に関する様々な規制が、様々な国で、毎年のように施行・変更されている。このような状況に対応するためにも、ITシステムのガバナンスだけでなく、より広範囲な組織管理も含めた全ての情報のガバナンスが必要不可欠だと言えるだろう。
有事が起きる前にリスク回避する方法として、組織内にある全てを経営者の立場から総合的に管理しコントロールする「情報ガバナンス」に取り組むなど、コンプライアンス体制を構築することが重要である。
人気資料ランキング
人気記事ランキング
新着記事
