押さえておきたい「GDPR（EU一般データ保護規則）」企業に求められる対策とは？

2018年5月25日、GDPR（EU一般データ保護規則）が施行されました。国内では、何となく「そんなに大したことじゃなかったんだなー」の雰囲気が流れているようです。正しく認識している方が少ないようなので、GDPRの内容とそれに関する国内の現状を押さえておきましょう。

この記事の目次

1 GDPRの概要
2 個人情報保護法改正のドタバタ
3 日本はまだ十分性認定を受けていない
4 新しいガイドラインの内容を押さえておこう
5 最後に

GDPRの概要

とは言っても、GDPR自体をご存じない方もいらっしゃるでしょう。まずは、GDPRの概要を。簡潔に言うとこういうことです。

「個人データを守るため、EUと同等の対策が取られていると認められる国以外には、原則個人データを渡しちゃダメ。」

至極当然の話です。

ただ、守らなかった時の罰金が凄い。最大で2000万ユーロまたは全世界の売り上げの4％のうちいずれか高い方が上限。罰金・実刑がかかると、突然日本企業は対応を検討しますね。努力義務だとほとんど動かないんですけども。

そして、問題は、日本は“同等の対策が採られていると認められる（十分性認定）国”じゃなかったことなんですね。

十分性認定
ヨーロッパ連合（EU）加盟国から第三国に個人データを持ち出す場合、越境先の国・地域で個人データの十分な保護措置が確保されているかどうかを、ヨーロッパ委員会が審査し、認定すること。
引用十分性認定/コトバンク

個人情報保護法改正のドタバタ

2016年4月、EUで採択され、2018年5月に施行が決まったGDPR。日本は焦りました。あと2年で十分性認定を受けないと、EU内の個人データを貰えない。企業も困るし、東京オリンピックにも人を呼べなくなる。大慌てで2017年5月、個人情報保護法を改正しました。

ところがですね。
個人情報保護法というと、財界にはアレルギー反応があります。個人情報保護法施行時のドタバタ。営業活動の制限。漏洩時の大損害。出来るだけ自分達に影響の出ないように働きかけを行いました。GDPRの十分性認定を貰えるようにするのが重要なのに、そんなこと全く関係なく。

特に「匿名加工情報」の定義では、専門家が口を揃えて、「そんな定義じゃGDPRの十分性認定通らない」と何度も何度も何度も言い続けたのに、アバウトな定義にしてしまいました。

現在のガイドラインでは「匿名加工情報として取り扱う意思を持って作成したら匿名加工情報」という、「なんだ、そりゃ」な定義なのです。

日本はまだ十分性認定を受けていない

ということで、案の定、改正個人情報保護法では不完全でした。現在、日本は十分性認定を受けられていないのです。こうなると、本来、各企業は個別にGDPRに対応しなければならなりません。しかし、それでは困ります。

そして、現在は裏技的な状況になっています。
「7月初旬までに出す新しいガイドラインの内容であれば、大丈夫そうだ。そうすれば秋には十分性認定はできるだろう」という前提の共同宣言が、つい先日、5月31日に出されたのでした。

学生時代、卒論の内容が不出来すぎて、教授から受け入れられないと言われた学生が、「就職決まってるんです、追加レポート出しますから許してください。」と懇願して渋々認められたのを彷彿とします。（友達の話です。友達の。）

新しいガイドラインの内容を押さえておこう

新ガイドラインで要求される予定の事項は大きく分けて5つです。EUから移転された個人データを下記ルールで取り扱わないと、罰則適用の可能性があります。

要配慮個人情報
性生活、性的指向（「嗜好」ではありません。LGBT等の話です）、労働組合活動に関係する情報も要配慮情報として扱う。
保有個人データの範囲
国内法では開示請求権が認められない個人データもEUのものは保有個人データとして扱う。
利用目的の特定
取得時に特定された利用目的以外の使用を禁じる。
外国への個人データ移転
外国への個人データ移転は、本人同意のみならず、同意判断に必要な情報も提供する。
匿名加工情報
匿名化された個人の再識別を“何人にとっても不可能”にした場合に限り匿名加工情報と認める。

以上、5点が追加のルールです。よく読めば当たり前のような気がしますよね。改正個人情報保護法は、これが定義されていなかったんです。EUの個人データと言わず、国内の個人データも同様に扱う方が無難です。特に1の要配慮個人情報等は、履歴書フォームに「性別」を入れている企業も、まだまだ多いのではないでしょうか。