20185月、GDPRの施行により、グローバルな事業展開をしている日本企業にとって「個人情報の取り扱い」は、より一層の注意が必要になったのことはご存じの方も多いのではないでしょうか。


2019
1月にGDPR「十分性認定」がようやく日本にも認められました。十分性認定とは欧州委員会が「特定の国や地域が個人データについて十分な保護水準を満たしている」ことを審査・認定するものです。

そんな中、グローバルでは既に、GAFAなどの世界の大型プラットフォーマーの不祥事や訴訟がニュースを騒がしています。

そこで本記事では、昨今のGAFAを巡る不祥事や訴訟について押さえておくとともに、日本企業としてGDPRの十分性認定がもたらすメリットと意識すべき注意点について解説していきます。

GDPRの十分性認定が持つ意味と日本企業への影響


GDPR
EU一般データ保護規則)とは、EUにおいて適用されていたEUデータ保護指令に変わる新たなルールであり、20185月から適用されています。GDPRでは、IPアドレスやCookieといったオンライン識別子も個人情報として取り扱われるのが特徴です。また、企業がユーザーの個人情報を取得しようとするときには、あらかじめ同意が必要となっています。企業側は連絡先・処理の目的・第三者提供の有無・保管期間などを明示したうえで、ユーザーの同意のもとで個人情報を適切に管理していくことが求められているのです。

仮に、GDPRで定めるルールに従わなかったときには、年間売上高の4%以下もしくは2000万ユーロ以下のどちらか高いほうの制裁金が課されます。企業にとって大きなペナルティとなるため、充分な対策が必要になっているのです。

GDPRではEU域内で取得した個人情報をEU域外に持ち出すことを原則として認めていません。しかし、欧州委員会が定める「十分性認定」の要件をクリアしている国や地域に限って、個人情報の持ち出しが認められているのです。20191月に日本に対しても十分性認定が認められており、これによってEU域外への個人情報の移転が可能となりました。

以前は個人情報の移転を行うためには、企業が個別に契約を結ぶ必要があったため、複雑な手続きやコストが発生していました。十分性認定の適用によって、個別での契約が不要となり、スムーズに経済活動が進んでいくと期待されています。ただし、十分性認定が認められても一部の手続きが免除されるだけであるため、引き続きGDPRへの対応は必要です。

GDPRの対象となりえる日本企業とは、例えばEU域内に子会社や支店を持っていたり、EUに対して商品やサービスを提供していたりする企業です。また、EUから個人情報の処理について委託を受けている企業も対象となります。すでにEU域内で事業活動を行っている企業だけでなく、これから進出しようとする企業にとってもGDPRは影響してくるので気をつけておきましょう。

GAFAを巡る不祥事や訴訟の事例


GAFA
(ガーファ)とは、アメリカを代表するグローバルなIT企業4社の頭文字をとって呼ばれている総称です。具体的には、GoogleAppleFacebookAmazonのことを指しており、世界中に多くのユーザーを抱えています。これらの企業は電子商取引やSNS、検索サービスなどを通じて多くの個人情報を取得しているのです。そして、得られた個人情報をもとに広告や販売を行って大きな利益を得ています。ユーザーが意図しない形でいつの間にか個人情報を吸い上げられている場合もあり、GAFAに対する不信感が高まっている面もあるのです。

20189月にはFacebookで、約5000万人分のアカウント情報が流出した可能性があると発表されました。機能の脆弱性を外部のハッカーに突かれたものであり、最大で9000万人が影響を受けたと言われています。また、Googleにおいても201810月にSNSの「Google+」で、最大50万人分の個人情報が流出した可能性があることが発表されました。同社の発表によればソフトウェアの不具合が要因であり、個人情報の不正利用が行われた証拠がなかったとのことです。しかし、20183月にその事実を把握しておきながら、半年以上も公表しなかった姿勢が問題視されました。そして、個人情報に関する不祥事が続くなかで、GDPR違反を理由とした訴訟も提起されたのです。訴訟はFacebookGoogleに対するものであり、訴訟を起こしたオーストリアの弁護士によれば、「ユーザーの個人情報を使い続けるために、同意を強制する戦略をとっている」とのことです。

また、フランスのCNILGDPR違反を理由として、Googleに対して5000万ユーロ(約62億円)の制裁金の支払いを命じています。GAFAだけでなく、EU域内で個人情報を取り扱っている企業は制裁金や訴訟のリスクを抱えることになるため、ビジネス活動をいったん休止するところも出てきているのです。

いずれにしても、GDPRに対応できる組織体制を整えることが企業側に求められているのは間違いありません。単に企業のIT部門や法務部門だけが対応するものではなく、経営層を含めて全社的な取り組みが必要な時代なのです。

十分性認定が認められてもGDPRへの対応は必要!日本企業が意識すべき注意点


日本が国として十分性認定の適用を受けたのは、日本企業にとって大きなメリットです。特に、EU域内での取引が活発な企業にとっては煩雑な手続きから解放される部分もあるので、よりビジネスに専念できる環境が整います。

しかし、十分性認定が認められたからといってGDPRへの対応が不要というものではありません。個人情報保護をより強化する目的のGDPRは、十分性認定が認められている国や地域であっても意識しておく必要があります。十分性認定によって所定の契約書の作成は免除されるものの、個人情報の取得手続きや利用について問題があれば、制裁金を課せられる可能性も充分あるのです。

そのため、EUと何らかの形でビジネス上のつながりがある場合には、対応策をしっかりと練っておく必要があるでしょう。

具体的な対応策としては、まずEU域内からのアクセスがないかを調べることは重要です。IPアドレスやCookieなどの情報を取得している場合には、GDPRにもとづく個人情報の処理を守ることが求められます。また、EU向けに商品やサービスを提供していたり個人情報を販売している企業はより注意が必要です。GDPRにきちんと対応していない場合には、取引停止となってしまう可能性もあるでしょう。企業側がGDPRに求められる事項はさまざまなものがあるので、自社だけで対応が難しいときには専門家の力を借りることも重要です。

そして、十分性認定が認められても定期的な監査が欧州委員会によって行われます。大規模な個人情報漏えい問題などが発生すれば、将来的に日本の十分性認定が撤回されるリスクもあるでしょう。企業内においては専任の担当者を置き、外部の専門家の協力も得ながらGDPRと向き合っていく必要があるのです。

まとめ


今後、欧州のみならず、日本も含め世界中で、GDPRのような個人情報保護を強化する法整備はますます加速していくだろうと専門家は予想しています。

社内・社外の連携を強化して個人情報を適切に取り扱えるように全社的な体制を整えておきましょう。