SECURITY Q&A

セキュリティ質問箱 | ビジネス現場の疑問について回答します

「GDPR」(EU一般データ保護規則)とは何ですか?

この記事をシェア
「GDPR」(EU一般データ保護規則)とは何ですか?

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

 

A

EUでは2018年5月25日より「一般データ保護規則」(General Data Protection Regulation、GDPR)が施行されます。文字通り、データ保護に関する法律です。サイバー犯罪の悪質化、スマートフォンやIoTによる通信における秘匿情報の増加などの現況を踏まえ、個人に関する情報を集めたり処理したりする業者に対して、さまざまな義務が課せられるようになります。

「GDPR」が施行されると、ヨーロッパ市民は、あらためて自分の個人データの制御権を取り戻します。しかもこの法律の影響力は、ヨーロッパだけにとどまりません。もっと幅広い意味を持ち、ヨーロッパ大陸にデータを保持する世界中の企業にも及びます。

この法律の導入は、個々人にとっては喜ばしいものですが、企業に対しては複雑な問題を突き付けます。一例を挙げれば、もし企業がこの新しい法規制に違反すると数十億円(何千万ユーロ)にもなろうかという罰金を科せられる恐れがあるからです。

Q GDPRとは何でしょうか?

A GDPRは、欧州委員会が策定した個人データのプライバシーとセキュリティに関わる一連の規則です。

この新しいデータ保護条項はそれだけで、ヨーロッパの全てのプライバシー法を大きく変えることになり、1995年に制定された時代遅れの「データ保護規制」(Data Protection Directive)に取って代わります。

Q 新法の理念はどういうものでしょうか?

A この新法は、自分のデータがどのように処理され、使用されるかに関する権限を市民に返すことを目指して発案されました。

新しい規則の下で、個々人は「忘れられる権利」を持つことになります。すなわち、企業が保持する個人データがもはや必要でなくなったり、正しくなくなったりした場合、個々人は、それらの消去を企業に要求できるようになります。

この新法にはさらに、規制の現状を簡略化するという意図もあります。

Q GDPRが個人に与える影響は?

A GDPRは、「忘れられる権利」同様、消費者の自分のデータに対する権利を強める可能性のある対策です。

しかし、それをどのように現実に適用するかについては、グレーゾーンが広がっています。この法律が含意するところでは、誰かがFacebookのようなソーシャルネットワークに自分のプロフィルを完全に消去するよう要求することが理論的に可能になります。

そうすると「表現の自由」に関する法律に抵触し、「忘れられる権利」がそこまで及ぶのにストップがかかる事態も考えられます。

しかしそこには、個々人が自分のデータをあるサービスから別のサービスへより手軽に移すことができるという可能性があります。これは消費者にとってはメリットが大いにあります。ユーティリティーや保険、プロバイダーの乗り換えがずっと簡単にできるようになるからです。

Q GDPRが企業に与える影響は?

A データ保護法のこうした再編は、個々人にとっては良いことばかりですが、企業にしてみれば、この法律を遵守しないと莫大な制裁金を科せられる恐れが発生します。

これは近年、データ漏えいがますます日常茶飯事になってきているからです。 しかし、市民に彼らの複雑な個人データの制御権を返すというのは、必ずしも簡単ではありません。さらに、この制御権の返却をどのように行うか、また個人データ利用の際にそれが適切に保存され、しかる後安全に消去されるというプロセスをどのように保証するか、という計画を練り上げるのは、かなり技術的でしかも非常に危険な「地雷源」です。

Q GDPRに違反すると罰金は幾らでしょうか?

A GDPRにおける最大の変更点は、この法律を遵守しない企業に科せられる制裁金額の増大です。該当する企業は、利益総額の4% か、24億円(2,000万ユーロ)のいずれか多い方を支払わなければならない羽目になります。

この罰則は確かに、企業を震え上がらせ、そのデータ管理の仕方を変えさせるのに十分なだけの強制力を持っています。

Q EU圏外の企業に対する影響は?

A GDPRは、EU圏外の国々の企業にとっても、深刻な意味を持っています。企業が外国にあったとしても、ヨーロッパに住む人のデータを保持していれば、その企業はこの法律に縛られるからです。

EU圏内に住んで働いている個々人のデータを処理するなら、その企業は、この規制の諸条項に従わなければならないのです。

Q 企業は何を覚悟しなければならないでしょうか?

A 英国情報委員会事務局(Information Commissioner’s Office、ICO)は、企業がGDPR導入に備えることができるよう、一連のガイドラインを公表しています

当事務局はまた、企業がプライバシー条項を見直し、これをGDPRに適合させるのに変更が必要なら、それを実施するプランをしっかりと立てることも推奨しています。しかし、GDPRもそれほど心配するものはないかもしれません。というのも、ICOが、新しい方策は現行のデータ保護法と全く同じ原則と概念を多く残していると強調しているからです。

つまり、すでに1995年法をきちんと守ってきている企業にとっては、おそらく何の問題もないのです。

しかし、企業は今後、データ保護の専門家の求人活動を活発に行い、能力のある人員をきちんと社内に配置しようとするでしょう。

Q ほかにどのようなことが派生する可能性がありますか?

A ひとたびGDPRが発効すれば、さまざまな個人や集団が市民を代表してプライバシー問題を取り上げ、企業が受ける法的追及の数は増えるでしょう。

しかし逆に、個々の国の規制者から来る異議申し立ては減るに違いありません。というのも、案件の取り扱いを1カ所に集中させる「ワンストップショップ」条項があり、企業が本拠を置き、法的行動をとる国の規制者にこの責務が転嫁されるからです。

規制者にはまた、第三者から寛容すぎると思われた場合、自らが介入できるように、より多くの権限が与えられることになるでしょう。

この記事をシェア

情報漏えいのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!