データ活用を厳しく制限、EUがGDPR施行も日系企業に出遅れ感
BツーB取引が盲点に
欧州連合(EU)は25日、EUの居住者や訪問者の個人情報保護を目的に、企業のデータ活用を厳しく制限する「一般データ保護規則(GDPR)」を施行する。適用対象はEU内で個人情報を収集する域外の企業も含まれており、違反すると、多額の課徴金を払わなければならない。越境データを利活用する日系企業にとっては喫緊の課題だが、その大半は対応が不十分なままで施行を迎える。
個人情報の取り扱いルールを強化する動きはGDPRのみならず世界的な潮流だ。全体像を見誤ると、企業は後々多大な損害を被り兼ねない。
ただ、日系企業の対応は総じて出遅れ感が際立つ。トレンドマイクロが2カ月前に実施した調査によると、「GDPR対応が完了済み」と回答した企業はわずか10%に過ぎない。GDPR対応のコンサルティングで実績を持つ外資系監査法人などには、施行間近になって「企業からの問い合わせが相次ぎ、後を絶たない」(高橋直樹KPMGコンサルティング)。
それでもeコマース(電子商取引)など国境を越えたBツーC(対消費者)ビジネスを展開する企業は個人情報の扱いには慣れているため、それなりに対応している。
しかし、BツーB(企業間)取引が主体の企業は、個人情報の観点でビジネスや取引先との関係を見てこなかったため、対応に戸惑っているのが実情。今もって「うちはそもそもGDPRの適用会社なのか」「何をどうしたらよいかが分からない」といった声が聞こえる。
GDPRの適用対象は思いのほか広い。新日本有限責任監査法人の梅沢泉パートナーは、「取引には至っていない潜在的な顧客の情報などの取り扱いも注意すべきだ」と指摘する。
例えばEU内で展示会やセミナーを開き、そこに来場した顧客情報も例外ではない。収集した顧客の名前や所属などを現地法人でデータベース(DB)化し、それを日本から閲覧すると、「EU域外へのデータ移転(越境データ)」とみなされる。来場者本人の同意など、諸規定を満たさなければ違反となる。
個人情報保護の法整備は世界で進んでおり、その対策には注意を払わなければならない(写真はイメージ=ブルームバーグ)
GDPRが求める個人情報の扱いについて、梅沢氏は「大きく『取得』『保管』『移転』の三つを規定している」と説明する。
取得は本人の同意のみならず、同意の取り方の明確性なども求める。「数十ページにわたる利用規約の中に『データの利用目的』が埋め込まれるように明記されていては、同意とは認められない。誰もが分かるように書かれていないと説明責任を果たしたとはいえない」(同)と明かす。
保管は、顧客情報システムへのアクセス権限やセキュリティーなどの技術対応が中心となる。
最もやっかいなのは、データの移転だ。GDPRではEU市民のデータを勝手に域外に持ち出せず、それを認めるには、例外規定が必要となる。
いくつかの例外規定がある中で、日本勢が注目すべきは「十分性認定」だ。これは欧州委員会が「個人情報の扱いが十分な水準と認める国」に与えるもので、実は日本はまだ認定を受けていない。
EUは米国との間では特別な協定に基づいて、情報の行き来を認めている。このほかアルゼンチンやイスラエル、ニュージーランドなど7カ国、4地域が十分性認定の対象となっている。日本もこれをクリアできれば越境データに関する面倒な問題は解消される。
欧州委員会の声明によると、日本は2018年の早い時期に十分性認定を与えられる見通し。25日の施行前に認定が出るとみる向きが多かったが遅れている。ただ、いつ認定が出てもおかしくはなく、関係者は皆、動向を凝視している。
日本に広がる危機感
個人情報の取り扱いルールを強化する動きはGDPRのみならず世界的な潮流だ。全体像を見誤ると、企業は後々多大な損害を被り兼ねない。
ただ、日系企業の対応は総じて出遅れ感が際立つ。トレンドマイクロが2カ月前に実施した調査によると、「GDPR対応が完了済み」と回答した企業はわずか10%に過ぎない。GDPR対応のコンサルティングで実績を持つ外資系監査法人などには、施行間近になって「企業からの問い合わせが相次ぎ、後を絶たない」(高橋直樹KPMGコンサルティング)。
それでもeコマース(電子商取引)など国境を越えたBツーC(対消費者)ビジネスを展開する企業は個人情報の扱いには慣れているため、それなりに対応している。
しかし、BツーB(企業間)取引が主体の企業は、個人情報の観点でビジネスや取引先との関係を見てこなかったため、対応に戸惑っているのが実情。今もって「うちはそもそもGDPRの適用会社なのか」「何をどうしたらよいかが分からない」といった声が聞こえる。
GDPRの適用対象は思いのほか広い。新日本有限責任監査法人の梅沢泉パートナーは、「取引には至っていない潜在的な顧客の情報などの取り扱いも注意すべきだ」と指摘する。
例えばEU内で展示会やセミナーを開き、そこに来場した顧客情報も例外ではない。収集した顧客の名前や所属などを現地法人でデータベース(DB)化し、それを日本から閲覧すると、「EU域外へのデータ移転(越境データ)」とみなされる。来場者本人の同意など、諸規定を満たさなければ違反となる。
越境データの問題解消、「十分性認定」に注目
個人情報保護の法整備は世界で進んでおり、その対策には注意を払わなければならない(写真はイメージ=ブルームバーグ)
GDPRが求める個人情報の扱いについて、梅沢氏は「大きく『取得』『保管』『移転』の三つを規定している」と説明する。
取得は本人の同意のみならず、同意の取り方の明確性なども求める。「数十ページにわたる利用規約の中に『データの利用目的』が埋め込まれるように明記されていては、同意とは認められない。誰もが分かるように書かれていないと説明責任を果たしたとはいえない」(同)と明かす。
保管は、顧客情報システムへのアクセス権限やセキュリティーなどの技術対応が中心となる。
最もやっかいなのは、データの移転だ。GDPRではEU市民のデータを勝手に域外に持ち出せず、それを認めるには、例外規定が必要となる。
いくつかの例外規定がある中で、日本勢が注目すべきは「十分性認定」だ。これは欧州委員会が「個人情報の扱いが十分な水準と認める国」に与えるもので、実は日本はまだ認定を受けていない。
EUは米国との間では特別な協定に基づいて、情報の行き来を認めている。このほかアルゼンチンやイスラエル、ニュージーランドなど7カ国、4地域が十分性認定の対象となっている。日本もこれをクリアできれば越境データに関する面倒な問題は解消される。
欧州委員会の声明によると、日本は2018年の早い時期に十分性認定を与えられる見通し。25日の施行前に認定が出るとみる向きが多かったが遅れている。ただ、いつ認定が出てもおかしくはなく、関係者は皆、動向を凝視している。
日刊工業新聞2018年5月22日