個人情報保護法とGDPRの違いとは――EUに事業を展開する企業が知っておくべきこと:ITmedia エグゼクティブセミナーリポート
2018年、「EU一般データ保護規則」が施行される。新たな規制では個人データの取り扱いに本人の明確な同意が必要になる。EUに事業を展開している日本企業が知るべき規則とは。
個人情報保護法のあるべき形とは
「緊急開催:どう対処する? EUにおけるプライバシー保護規制の読み方」をテーマに開催された「第40回 ITmedia エグゼクティブセミナー」の基調講演に、国立研究開発法人 産業技術総合研究所 主任研究員である高木浩光氏が登場。「壊れている日本の個人情報保護法、本来のあるべき形とは」をテーマに講演した。
改正個人情報保護法(個人情報保護法)が、2017年5月30日より全面施行される。また、欧州連合(EU:European Union)は、2018年にEU一般データ保護規則(GDPR:General Data Protoction Regulation)の施行を目指している。個人情報保護法は、EUに比べて緩いといわれる一方で、GDPRで対象にしていないことまで規制している部分もあり、その趣旨も不明な部分がある。
日本では、GDPRと同等の法制度を持っていれば、データの移転を可能にする「十分性認定」に対応しようとしている。しかし高木氏は、「個人情報保護法は、十分性認定を取得できるレベルにはなく、それはEUに事業を展開している日本企業にとって心配の種である」と話す。
個人情報保護法には、大きく2つ足りないものがあり、1つは、対象情報の定義が狭すぎることだ。例えば、個人情報保護法では、初めから氏名が含まれていないデータは個人情報ではないと解釈されているが、GDPRでは無記名の個人の履歴データも個人情報に該当する。
もう1つは、プロファイリングの規制に対応していないことだ。個人情報保護法では、情報漏えい対策ばかり注目されているが、GDPRでは自動処理による判断が重要になる。例えば、企業が人材の採用において、同意なく人工知能で人物評価を行い、採用までを自動化すると違法になる。人が判断することが必要であり、機械に判断させてはいけない。
1970年代には、コンピュータに人間が支配されるのではないかという議論があった。その後そうした議論は自動処理による人権侵害という形で整理された。1970年代に予言された機械による人の支配が、今日、人工知能による差別的な個人の取り扱いという形で、政府だけでなく民間企業も含めて現実的な時代になりつつある。
「1つ救いであるのは、2015年の国会審議で"日本の個人情報保護法はEU法と違い過ぎて、十分性認定を取得できないのではないか"という質問に対し、政府は"携帯電話番号や端末IDは、欧米では個人データに該当するとしており、日本は今後こうした状況を見ていくことが必要"と回答していること」(高木氏)
高木氏は、「個人情報保護法には、誰も求めていないムダな規制の部分もがあり、いくつかのハードルはあるが、一つ一つ解決していかなければならない。改正法は、施行後3年ごとに見直しされることになっており、2020年には、現在抱えている問題が解決できるよう、企業の皆さまも一緒に取り組んでほしいと」と締めくくった。
グローバル化していくビジネスとGDPR対応
続くセッション1には、デロイト トーマツ リスクサービス サイバーリスクサービス パートナーの北野晴人氏が登場。「グローバル企業がGDPRで遭遇する課題」をテーマに、GDPRへの対応を求められるグローバル企業が、実務の現場で遭遇する問題とその対応方法について、具体的かつ実践的に紹介した。
「4〜5年前よりGDPRに関する企業の支援をしているが、ここ1年間でGDPR対応に関する相談が急激に増えてきた。この背景には、世界中の顧客の情報を分析し、マーケティング活動や販売促進につなげたい、人材をグローバルに活用したい、すでにグローバルな個人情報の流通が必須となっているなどが挙げられる」(北野氏)
EU加盟国の個人情報を収集し、分析してビジネスに活用する場合、データが日本のデータセンターや米国のクラウドサービスなどにあることは珍しくなく、GDPRへの対応が必要になる。
北野氏は、「新しいチャレンジにより、事業を成長させたいと考えている企業は多いが、新しいチャレンジには、プライバシー関連やセキュリティ、コンプライアンスなど、成長を阻害するリスクも生まれる。そのリスクを適切にコントロールし、新たな事業を最適化するためには、投資が必要という課題もある」と話している。
GDPR対応で、圧倒的に問い合わせが多いのが「域外移転規制」である。現在、日本では十分性認定を取得していないので、一定の手続きを踏まなければ個人情報をEU域外に移転することができない。手続きとしては、明確な同意の取得、拘束的企業準則(BCR:Binding Corporate Rules)、標準契約条項(SDPC:Standard Data Protection Clauses、またはSCC:Standard Contractual Clauses)がある。
「現状では、3つの手続きに基づいて、個人情報を移転することが必要だ。大半は、SDPCでの利用になるが、BCRを検討している企業も増えている。今後さらに必要になる手続きとして、承認された契約、認証、行動規範の順守も考えておかなければならない」(北野氏)
SDPCは、会社と会社が1対1でデータを移転する契約を結ぶ方法で、BCRはグループ全体でEU監督機関から認定を得てデータを転送する方法である。域外移転規制における課題としては、個人情報を取り巻く状況が把握できていないことだ。特に多いのは、GDPRという規制を知らずに、すでに移転している場合である。
そこで、とりあえずSDPCに対応することになるが、問題となるのは、どの事業部で、どんな個人情報がどのように使われているのかを把握することである。EU監督機関に登録しているかという課題もある。次に「説明責任」だが、EU監督機関に説明責任を果たすには、個人情報を活用するための明確な同意を得ておくことが必要になる。
GDPR対応のための実務では、管理態勢と情報システムの両面での取り組みが求められる。プロジェクトの進め方としては、現状を把握し、対応計画を策定して、対応策を実施する。具体的には、業務プロセスの変更や構築を行い、システムを改修し、社内ルールを修正することで域外移転に対応する。また同時に、組織内の教育や研修を実施することも必要だ。さらに内部監査など、モニタリングの仕組みも重要である。
北野氏は、「冒頭でも話したとおり、GDPR対応には投資が必要になる。しかし、過剰な投資をしないために、リスクの優先度を十分に検討することが必要だ。海外拠点の現状やリスクの可視化を行い、リスクの高いところから重点的に投資することが有効である。そのための支援を今後も行っていく」と話した。
データの保護、可用性、洞察を実現するベリタス
セッション2には、ベリタステクノロジーズ(ベリタス)セールス&サービス本部 常務執行役員の高井隆太氏が登壇。「データ管理の実態とベリタスの情報ガバナンスソリューション」をテーマに、クラウドや仮想環境の中で分断化されている大量のデータをいかに管理し、活用するかについて紹介した。
「企業にとってデータは重要だが、重要だからといってため続けてよいわけではない。GDPR対応においても、過度なデータの蓄積はリスクとなる。クラウドや仮想環境など、さまざまな環境に蓄積され、分断化されているデータの保護、可用性、洞察を、いかに実現するかが大きな課題である」(高井氏)
ベリタスでは、こうした企業のデータ管理状況を、企業のデータ構成の実態を解明した「データ ゲノミクス インデックス」、企業の情報管理の実態調査結果をまとめた「データバーグレポート」、データのため込みに関する「データ ホーディング レポート」という3つのレポートにまとめている。
データバーグレポートでは、ビジネス上重要な「クリーンデータ」は全体の12%で、「ROT(重複データ:Redundant、古いデータ:Obsolete、価値のないデータ:Trivial)データ」が33%と報告されている。高井氏は、「残りの55%は、価値が明らかになっていない"ダークデータ"です。このダークデータに、大きなリスクが潜んでいる」と言う。
また、データ ゲノミクス インデックスでは、1ペタバイトのストレージには、平均で23億個を超えるファイルが含まれていると報告されている。このうち55%がダークデータだとすると、約13億個のファイルがダークデータということになる。ダークデータを手作業で管理するのは不可能であり、抜本的な改善が必要である。
さらに、データ ホーディング レポートでは、62%のホワイトカラーと82%のIT意思決定者が「データ ホーダー(データをため込む人)」を自認しており、そのうち69%が改善を断念している。データのため込みは、全社的な問題として改善に取り組まなければならない。
そこでベリタスでは、個人情報を把握する「特定」、個人情報の開示に速やかに対応する「検索」、ポリシーに基づいてデータを自動的に削除する「最小化」、損失、漏えいから個人情報を守る「保護」、72時間以内に当局に届け出るための「監視」で構成される「情報ガバナンスモデル」による、360度データ管理によるGDPR対応を提唱している。
高井氏は、「可用性やBCP対策、コスト削減など、データ管理におけるさまざまな課題がある中で、さらにGDPRへの対応が求められている。GDPR対応の主要な要件としては、説明責任やガバナンス、保管の制限、情報漏えいの通知、個人の権利など。こうした要件に対し、包括的な対応と速やかな措置が必要である」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.