5月25日に欧州で施行されるGDPR(General Data Protection Regulation :一般データ保護規則)。施行まで残すところ1カ月余りとなった。今回、富士通のGDPRの対応について話を聞いた。

富士通における内部統制として対応

「GDPRは、欧州の統一的な個人情報保護法であり、適用範囲は広く、法律上の定義では個人を識別し得る情報のため、IPアドレスやGPSの情報など単体では個人が特定されなくとも、複数の情報を組み合わせれば個人を識別し得るものが適用範囲だ」。

そう語るのは富士通 法務・コンプライアンス・知的財産本部 ビジネス法務部 マネージャーの坂田大氏。

  • 富士通 法務・コンプライアンス・知的財産本部 ビジネス法務部 マネージャーの坂田大氏

    富士通 法務・コンプライアンス・知的財産本部 ビジネス法務部 マネージャーの坂田大氏

GDPRは、個人データの収集・取得・保管・分析などの処理と移転に関する法律のため、欧州における個人データの処理・移転の行為の有無により、企業が対応すべきか否かが変わってくる。対応する必要がある場合は、欧州の子会社など単体ではなく、グループとして個人データを保護する仕組みを構築しなければならない。

同氏は「われわれのGDPRへの対応は、会社法でも定められている内部統制として位置づけている。GDPRは欧州域外の企業も適用され、違反した際は最大2000万ユーロもしくは売上高の4%の課徴金が課されるため、違反時のリスクが大きい。そのため、われわれだけではなく、グループ全体で法律を遵守する仕組みを整備する。そのような意味で内部統制と位置づけている」と説明する。

富士通では、グループとしてGDPRの保護に関する責任者を定めており、グローバルの各地域ごとに責任者を置き、各地域の部門ごとにも責任者を定め、保護できる仕組みを整備している。当局からの課徴金に加え、個人が訴える可能性もあり、潜在的なリスクも想定されていることから、社会から信用がない会社だとレッテルを貼られることも懸念されるという。

欧州は個人の権利を保護する傾向が歴史的に強くあり、ビッグデータやIoT、AIをはじめデジタル化が進展していく中で、データのやり取りが自由になる。特に、米国の企業は規制よりも自由を重んじる傾向があり、欧州として防護壁を築かなければならないという問題意識もあり、GDPRが必要になったのではないかとの認識を坂田氏は示す。

そして、坂田氏は「まずは組織として、どのように仕組みを整えるのかということがある。従業員と会社を守れるよう目に見える指標、例えばガイドラインやチェックリストなどを用意し、従業員に対する法律の周知、教育は欠かせないものだ」と、強調する。

企業の状況次第で変わる対応

同社では、1月にDutch Data Protection Authority(DPA)に対してBCR-P(Binding Corporate Rules for Processors:拘束的企業準則)を申請している。これは、GDPRに基づく個人情報保護に関する企業の共通規範を定めたものだ。

欧州域外に個人データを移転する場合、GDPRにより移転ができないが、例外としてBCR-Pは当局の承認を得れば、グループ内において欧州域外に個人データの移転が自由にできるという。

審査内容として坂田氏は「個人データを保護する仕組みが整備されているかという点がポイントなるため、申請内容を組織的に保護できる体制になっているかは審査される」と話す。

現在、富士通では世界8カ国にアプリケーションサービス、多言語対応サービスデスク、リモートインフラ管理(RIM)、ビジネスプロセスアウトソーシング(BPO)などを提供するデリバリー拠点としてGDC(Global Delivery Center)を展開。欧州の拠点では、顧客から預かったデータを保管・処理することがある。

そのためBCR-Pに申請しており、承認は当局次第だが、大体1年程度だという。しかし、承認を得るまでの期間は、どうするのだろうか。単純な疑問だ。

この点に関して同氏は「その場合は現行法であるSCC(Standard Contractual Clauses:標準契約条項)を締結する。SCCをグループ内外で締結すれば個人データの移転が可能なため、間に合わなくてもビジネスに支障はきたさない」と、従来からのSCCで補えると説明する。

そこで、GDPR自体必要があるのかと筆者が質問したところ、富士通 法務・コンプライアンス・知的財産本部 グローバル本社法務部の小林慈子氏は「こと個人データの域外移転に関しては、SCCでも規制されているため、今後もわれわれとしてはSCCを続けていく」と、方針を示す。

坂田氏は「あくまでも個人データの移転はGDPRが定める義務・規制の対象の1つであり、例えば域外の適用範囲、個人データを保護する仕組みを組織的にも技術的にも整備する要件など域外移転以外の規定も存在するため、欧州としては統一的にこれらの規定を実施したいという思惑もあるのではないだろうか」と語る。

同社はGDPRへの対応を内部統制と捉えているが、各企業ではビジネスの状況に応じプライオリティが高いのであれば取り組むべきだという。また、対応する場合にはBCR-Pが必要か否かも各企業の判断に委ねられるため、域外の移転が多くあるのであれば対応すべきであり、対応しなければSCCでの対応もあり得るとしている。

最後に同氏は「現状では、当局のワーキンググループが条文の解釈などに関するガイドラインの発行を準備しているが、間に合っていない状況だ。5月25日までにすべてが出揃うことは予想できないため、GDPRに対応しなければならない企業は、どのような解釈の下で対応するのか判断がつかない場面が多々あるだろう。そのためガイドラインを含め、基準・考え方を可能な限り早く出してもらいたいと考えている」と述べていた。

  • 左から、富士通 法務・コンプライアンス・知的財産本部 グローバル本社法務部の小林慈子氏、坂田氏

    左から、富士通 法務・コンプライアンス・知的財産本部 グローバル本社法務部の小林慈子氏、坂田氏