「中国サイバーセキュリティ法」vs「EUの新規制GDPR」
中国では昨年6月より、“サイバーセキュリティ法”により個人情報に関連する規制が施行されました。今度はEU(欧州連合)が5月25日より“一般データ保護規則(GDPR)”という名称の個人データ保護を大幅に強化する新規制を施行するといいます。
※当記事の情報の7割ほどは、日本経済新聞の2月18日付け朝刊より引用させて頂いております。
中国の“サイバーセキュリティ法”
中国では「インターネット上のセキュリティレベルを上げるため」として個人情報の取り扱いを含めた“サイバーセキュリティ法”が2017年6月1日に施行されました。その重要部分を要約すると以下の通りになります。
| ・インターネット関連商品およびサービスを中国の基準に適合させなければならない |
| ・中国で得た個人情報、重要情報は中国国内で保存しなければならない |
| ・これらを国外に持ち出す場合は所定の審査を受けなければならない |
| ・事業社はユーザーに実名登録を求めなければならない |
| ・事業者は国家の安全のために協力(情報提供、技術サポート)しなければならない |
これらの条文によってインターネット関連商品とインターネットサービスは、自国製のものではなく中国の基準に合致したものを新たに構築することが必要になったり、また、中国で得たデータは中国国内で管理しなければならなくなるため、企業は中国で得た顧客情報を中国以外の国で得た情報と統合できなくなるなど、情報のグローバル活用に支障を来しています。
EUの“一般データ保護規則(GDPR)”
EU(欧州連合)では5月25日より、個人データ保護を大幅に強化する新規制“一般データ保護規則(GDPR)”が施行されます。その重要部分を要約すると以下の通りになります。
| ・扱うデータが一定の基準に当てはまれば、独立性や専属制を持つデータ保護責任者を設置すること |
| ・個人は自分が企業に提供した個人データを取り戻し、他の企業に移す権利を持つ |
| ・個人は人口知能(AI)などの自動処理のみによる評価や決定に拒否権を持つ |
| ・個人は不要な個人データの消去を求める権利(忘れられる権利)を持つ |
| ・違反時の制裁金は最大で2,000万ユーロか世界での年間総売上高の4%のいずれか高い方 |
欧州委員会「EU内外における個人情報の保護に関する規則」(https://ec.europa.eu/info/law/law-topic/data-protection_en)
EUで事業をしていれば日本企業も対象になるため対応は急務であり、企業が集める膨大なデータが競争力を左右するなか、データの覇権を巡る攻防は新たな局面を迎えます。
このGDPRに関連しては「個人情報保護委員会(PPC)」より2016年11月9日に開示された「個人情報保護委員会の国際的な取組について」でも述べられています。
(https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf)
EUの規制強化の背景
EUが規制強化に動く背景には、米グーグルやアマゾンなど“GAFA”と呼ばれるITの巨人たちの影がちらつきます(Google、Apple、Facebook、Amazonの頭文字をとって“GAFA”と呼ばれています)。検索サービスや通販サイトの利用者が規約の「同意」ボタンを押すだけで世界中の個人データを吸い上げることから、欧州議会のクロード・モラエス氏は「イノベーションを阻害するつもりはないが、行動履歴などが勝手に流通し、利用されるのは問題だ」と話しています。
2014年にはEU司法裁判所が、Googleの検索結果を削除できる「忘れられる権利」を認定しており、これもGDPRに盛り込まれ、巨大企業への一定の防波堤になります。また、「企業に提供した自分のデータを取り戻したい」と望めば、企業が返却しなければならない“データポータビリティー”という仕組みで、返却希望が集中すれば企業にとっては保有データの目減りにつながります。
“GDPR”の影響と日本の現状
新規制の“GDPR”ではメールアドレスやクレジットカード情報といった個人データを域外にいる第三者が見られるようにすることを原則的に禁じて、所定の契約書を交わすなどのルールに従えば許されます。EU内にある個人のデータは国籍や居住地を問わず対象になり、EUの市民相手に商売をしていればもちろん、出張や旅行で域内にいる日本人の個人データや、EUの従業員の人事データを日本で管理したい場合も含まれ、グローバル企業・越境EC企業なら大抵が規制対象です。
EUに30以上のグループ拠点を持つ日本の“花王”は2016年に対応に着手して、対象データの洗い出しを行いました。従業員の人事情報だけで数千人分にものぼり、取引先の連絡先、化粧品などの顧客データや問い合わせ情報なども調査して、必要な契約手続きは昨年の夏までに一通り終えており、今は漏れがないか最終確認を続けているとのことです。
しかし、全体としては日本企業の対応は遅れ気味で、GDPR関連の助言をする株式会社インターネットイニシアティブ(IIJ)によると「対策を始めたのは欧州に拠点を持つ企業の1割を超えた程度」だといいます。施行まであと残り3カ月しかありませんが、検討を始めた段階というところも多く、現地で企業に助言する弁護士は「無防備な企業は狙い撃ちされる」と警告しています。
また、人材確保も課題だといいます。国際プライバシー専門家協会(IAPP)は、新規制が求めるデータ保護責任者は「日本企業だけで1,700人が必要になる」と推計しています。
GDPRへの反応と対応
「GDPRは肥大しすぎた米IT企業の独占を弱める契機になるかもしれない」との見方もある一方、「データが別の企業に移るだけで、一部企業が独占する構図は同じ」との声も多いようです。
米Facebookは「全世界の利用者が自身でプライバシーに関する情報を管理できるようにする」と表明しており、Googleなども「反対するより、渡り合って勝ち残る道を模索する」と新規制に対応する姿勢をみせています。日本の経済産業省と総務省も「データを取り戻せる仕組み」を検討中で、「企業が率先して導入してサービスを差異化できれば強みにもなりうる」といい、ある弁護士は「GDPR対応はビジネスを進めやすくする側面もある」と指摘しています。
また、EUは規制を厳しくする一方で、「十分な保護体制にあると認定した国・地域にはデータの持ち出しを認める」としており、データを単に囲い込むのではなく、ビジネスへの活用との両立にも道を開くとのこと。日本はまだ認定を得ていませんが、関連ルールを整えて早期にEUの「お墨付き」を得たい考えですが、認定を得ても日本の各企業の体制はまだ整備が不可欠な状況です。
まだ未対応の企業様にあっては、2017年8月18日に日本貿易振興機構(JNTO)が「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(実践編)」を掲示していますので参照して、早急に対応することをお勧めします(入門編もあります)。
(https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html)
米国勢や中国勢も含めたデータの争奪競争が激化するなか、「国が主人公の“サイバーセキュリティ法”」と「個人が主人公の“GDPR”」を踏まえて、国際的な規制をどう整備するかが課題となりそうです。
[newspicks url=”https://newspicks.com/news/2838909″]
