EU一般データ保護規制(GDPR : General Data Protoction Regulation)の施行が2018年5月25日と、1年を切った。欧州地域と取引関係のある企業であれば例外なしに影響を受けるこの規定だが、どのように対処すれば良いのか、システムとしてどう対応すべきなのか、あまり理解が進んでいない。SymantecのAPAC 政府関連機関担当ディレクターのBrian Fletcher氏に、GDPRへの対応策について話を聞いた。

Symantec APAC 政府関連機関担当ディレクター Brian Fletcher氏(Symantec提供)

GDPRへの対応は競合優位性にもなる

Fletcher氏は、GDPRについて「そもそも、見方によって誤解を招きやすい。データに基づいて価値を生み出すことを阻害しているわけではなく、あくまで『みんなが安心して利用できる環境』を構築するためにGDPRがある」と語る。ヨーロッパでは日本以上に「プライバシー」を尊重しており、基本的人権の尊重と同様に「あらゆる側面から守られるべき権利」として個人情報を守るためにGDPRを規定した。

そのため、ヨーロッパ諸国とビジネスする以上は避けて通れない規定となる。裏を返せば、EU加盟国それぞれの法規制に合わせていたものが、EU基準さえクリアすれば、すべての国とビジネスが容易になることに繋がる。これに加えて「法制度を作る政治家だけでなく、一般人もプライバシー意識を高めているのが欧州だ」とFletcher氏は話す。

Symantecが2015年に行った調査「State of Privacy Report」によると、欧州の顧客が製品やサービスを選択する際、関心を寄せるポイントが「高品質の製品/サービスの提供(86%)」や「優れたサービスの提供(82%)」よりも「個人データ保護とセキュリティ(88%)」であった。Symantecによる調査という点を差し引いても、恐らく日本の消費者に対して同じ質問を投げかけてもここまで高い回答にはならないだろう。

「GDPRの規則あるから遵守するというだけでなく、日本企業がいち早く、正しく準拠することで競合優位性にも繋がることを忘れてはならない」(Fletcher氏)

GDPRのパーソナルデータの定義とは

では、GDPRにおけるパーソナルデータとは何か。

「ヨーロッパに居住している人物を特定できるデータ、すべての個人情報だ。この定義は意図的に、幅広く包括的になるように設定してる。それは、現在では想定できないような今後出てくるとみられるあらゆるデータを包含できるようにしたためだ。個人に紐付け可能な消費者、従業員、ビジネス先、挙動、Webサイト上の行動まで、すべてのデータが。

またGDPRの特徴として、トレースバックできるデータや、第三者の企業がリンクバックして個人を特定できるようなデータであれば、それもまたパーソナルデータと定義される。例えばある電話番号があって、自社だけでは誰の電話番号か辿れない。しかし、電話会社と提携してそこに個人と関連付けられるデータであるとわかれば、電話番号単体のデータもまた、パーソナルデータとして考えなければならない」(Fletcher氏)

このデータを、単にデータベースとして保持している企業はもちろんのこと、データの処理者、例えば欧州にデータベース子会社を作る形でアウトソースしても、その結果としてハンドリングしている企業が親会社であれば、その監督責任は親会社が担う。また、データ保護責任者を規定しておく必要があり、企業として説明責任の所在の明確化と規制遵守が厳密化される。