日本はどう備える 欧州の新たな個人情報保護法制GDPR(下)
World Now
更新日: 公開日:
注目すべきは、非常に厳しい「説明責任」
――5月の適用開始というのは、当局側も企業側も、本当に間に合うのでしょうか。
準備は着実に進んでいるとは言えます。当局側は85%ぐらいの準備はできた、という認識ではないでしょうか。当局側としては相当なハードワークをしてこれだけの短期間に数多くのガイドラインを出したのだから、当然、従ってくださいという思いでしょう。
ただ、準備をする側から言うと、欧州当局が出したGDPRに関するガイドラインのような書類を読むだけでも大変です。しかも、データ保護というのは法務部が対応して終わりの法律ではなくて、データを扱う部署すべての対応になります。
自分たちで考えて準備してきた企業の中には、GDPRの適用対象となる個人データの処理と移転の現状把握がうまくいかず、対応をやり直さなければいけないところも出てきています。大手企業からすれば、100%どころか80%でもちょっと無理ではないか、という感触ではないでしょうか。
その中でどんな執行をしてくるのか、注目されます。
――GDPRの注目点は、どこだと考えていますか。
説明責任ですね。そこが非常に厳しいと感じます。
競争法や反カルテルの法制度を例に取ると、なぜ当局がそう簡単に執行できないかというと、立証の壁があるからです。当局はリニエンシー(密告の制度)を使って証拠を集め、それをもとに調べを進めて最終的に制裁を科します。捜索でも、メールからなにからすべて持って行って、当局が分析して、証拠を積み上げて違反を立証します。
ところがGDPRでは、当局がやってきて「GDPRへの対応状況はどうなっていますか」と聞けば、企業側が対応状況を説明しなくてはいけません。
たとえば、個人データの処理行為をリストアップして一覧表にしたものを準備しておかなければいけないのですが、それが出せなかった時点で、その記録の保持義務の違反や「説明責任義務違反」となりかねません。
――厳しいですね。
また「データ保護影響評価」という考え方も入りました。これは、人権に与えるリスクの高い個人データの処理について、企業にそのリスクの評価を義務づけるしくみです。
欧州当局のガイドラインでは、「評価やスコアリングをするような場合」など、人権への影響が高いと考えられる九つのパターンを挙げています。このうち2パターン以上にあてはまるデータ処理をする場合には、企業に原則として評価の義務があります。その結果、リスクが高いと判断したら、当局に事前に相談にいく必要があり、承認を得るまではそのデータの処理ができません。
企業が自分たちが「リスクは低い」と判断した使い方が、当局に「これはリスクが高い」とされる可能性もあります。となると、企業としてはなるべく保守的に考えて、迷ったら当局に事前に相談にいくことになるでしょう。
――ほかにも気にすべき点はありますか。
データ保護責任者(Data Protection Officer: DPO)の位置づけも大きく変わっていきそうです。日本企業は、このDPOの人選を特に慎重に行うべきです。
――どういう立場の人でしょうか。
企業は、GDPRや各国の国内法で定める一定の要件を満たす場合、会社の中にDPOを置くことが義務づけられます。たとえばドイツは従業員10人以上の会社に、選任義務を置いています。
DPOは、GDPR対応を社内にアドバイスする立場でもあり、会社と当局の間に立つ立場でもあります。しかし、経営からは完全な独立が求められていて、当局への協力義務もあります。独立性を侵害すると、それ自体が制裁の対象になります。
つまり簡単にクビにできません。さらに、いろんな支援を会社から受けられるようになっています。例えば国際会議でデータ保護に関する研修を受けてくるとなったら、そういう費用は会社が面倒をみなくてはいけません。
――経営からは、独立したポジションになるわけですね。
したがって、日本企業には日本の本社でDPOを選び、欧州の拠点にはデータ保護当局と現地語でコミュニケーションをタイムリーに取ることができるDPOのチームメンバーを置くことをお勧めしています。
こうした手厚い支援制度のおかげもあって、欧州ではDPOはひとつの専門職領域として、できあがってくると思います。ある会社でデータ保護を担当し、また別の会社に移ってデータ保護を担当するような、そういうキャリアを積み重ね、中には当局に移るひとも出てくるでしょう。
そうすると企業側の「ここを突かれると痛い」といったようなことが、当局にすべて分かるようになってきますよね。
日本の中小企業がびっくりするような事態が起きても、おかしくない
――欧州当局の担当者などからは「GDPRが世界標準になる」、という声も出ていました。
コンプライアンスの考え方として、法律が一番厳しいところにあわせて体制を構築するのが、効率的で効果的だという考え方があります。また競争法の話になりますが、実際に多くの日本企業が、EU競争法や米国の反トラスト法など、欧米の法律を見ながら社内体制をつくっていきました。
さらに、同じような法制度が世界に広がる可能性があります。競争法の場合では、欧米を先駆けとして、その他の地域でも国際的なカルテル調査が出てくるようになりましたし、中国もEUの競争法型の独占禁止法を制定するなど、世界中に同じようなしくみが広がっていきました。
個人データ保護についても、EUの法律は、法律をつくる側からすると、ガイドラインも細かいのでまねがしやすい。さらにGDPRは執行権限も強力ですので、こうしたところも、各国の当局者からは適用しやすいということがあると思います。
――中小企業にも影響は及ぶのでしょうか。
これまでに出ているガイダンスなどを見ると、中小企業だから義務を免れるということは、少ないようです。どちらかと言えば、中小企業に例外を設けることで規制が骨抜きになることを避けていると感じます。
これは私の想像ですが、おそらくその理由のひとつは、モバイルアプリケーションなどの分野で、小規模な企業による個人データを使ったビジネスが非常に隆盛になっているからではないでしょうか。こうしたデータ処理を手がける会社で悪質な違反があった場合は、中小企業であっても厳しい制裁を科すということだと思います。
たとえば日本のモバイルゲームの会社でも、欧州にゲームを配信している会社があります。非課金のゲームでも、収入源として広告の効果測定をやったり、データを売ったりするビジネスもあります。すでに、同意もないまま欧州から個人データを集めて、広告効果の測定に使っているような会社があると聞いたことがあります。
しかも、小規模で法務やコンプライアンスの担当者がいない、というケースもあるようです。でも、このままでは、データを使ってビジネスをしている日本の中小企業がびっくりするような事態が生じても、おかしくはないと思います。
――大ヒットすると、目をつけられるということですか。
そういう場合もあるかもしれません。しかし、きっかけはもっとささいなことかもしれません。たとえば子どもがゲームをやりすぎているとか、すごく課金してしまったとかいう場合に、親がものすごく怒ってゲーム会社に子どものデータをちゃんと扱っているのかを問い合わせたり、当局に苦情を申し立てたりすることが考えられます。この場合、今のままでは制裁につながる可能性が高いと思います。
子どものデータというのは、非常に繊細な取り扱いが求められます。プライバシー性が低くても、子どものデータに関しては守られなくてはいけないというのが基本的な考え方なので、子どものデータを扱うというのは、きわめて難しいです。
別に子どものデータがすべてダメだとか、子どもへの課金が悪いとかいうことではありません。私もゲームは大好きでしたし、子どもに夢と希望を与えているということもあると思います。しかし、子どものデータを常時扱うことになりますので、リスクは高くなるということです。
――日本では欧州から客を集めているような個人経営の旅館なども問題になったりするのか、と話題になっていましたが。
実際には、そういう小さな旅館が直接、お客を集めるというよりも、海外のホテル予約サイトなどと契約して情報を扱ってもらっていることの方が多いと思います。そういう予約サイトは、これからまさにGDPRの中心的な対象になりますから、これを守るために準備を進めています。すると予約サイトは、欧州の顧客データを日本の旅館に送るために、データ移転契約を結ぶといった準備が必要になります。
つまり彼らがGDPRに対応するために、日本の旅館やホテルなどに新たな書類を要求してきて、それを準備しないとサイトに掲載されない、というようなことがあり得ると思います。
もう一点、ホテルや旅館ということでいくと、宿泊情報自体がかなり秘匿性の高い情報だと捉えられるので注意が必要だと思います。データ漏洩などが日本で大きく報じられれば、当然、欧州の当局も関心を持って、制裁を打つという可能性は出てくると思います。欧州に伝わるかどうかが、執行率を左右するということも十分あり得ると思います。(聞き手・西村宏治)
