Vol.171 EU一般データ保護規則(GDPR)の内容 & 現状の認知・理解度について

EU一般データ保護規則(GDPR)の内容 & 現状の認知・理解度について

個人情報の漏洩事故や悪用事件が日々メディアで報道されている中、日本では「個人情報保護法」が昨年5月に全面改正・施行されました。個人情報の適切な取り扱いと保護の強化、さらにグローバル化が進む個人情報の取扱いも視野に入れた内容となっています。こうした流れはもちろん日本だけではありません。
今日ご紹介するのは、記事のタイトルにあります通り、「EU一般データ保護規則(GDPR)」の概要と、トレンドマイクロ株式会社が先月公開した「EU一般データ保護規則(GDPR)対応に関する実態調査」の内容です。

■改めて、「EU一般データ保護規則(GDPR)」とは?
---------------------------------------
GDPRは「General Data Protection Regulation」の略で、欧州経済領域(=EEA:EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェーを含む)の個人情報保護に関する管理規則です。その目的は、「個人データの保護に対する権利」という基本的人権の保護と、個人情報保護に関する法律をEEA全体で標準化することです。今後も起こり得るさまざまなケースに対応できるように、個人情報保護法を刷新することで、2018年5月25日から施行されました。GDPRの要点は以下の通りです。

□個人情報の保護に対する権利=基本的人権とみなし、その保護を目的とした法律(EU基本権憲章)
□個人情報の適正な管理が必要であり、違反には厳しい行政罰が定められている
□EEA内に現地法人や支店・営業拠点などが無くても、ネット取引などでEEA所在者の個人データのやり取りが発生する場合は対象となる
□組織の規模、公的機関、非営利団体等に関係なく対象となる(※一部例外措置有り)
□個人情報の取扱い状況によってはEEA内に情報保護責任者や代理人の選任が必要

つまり、EEA以外のどこに拠点を置いている企業・団体でも、EEA内に存在する個人情報を取り扱う組織はすべて、GDPRに照らし合わせて、対策を行うことが義務づけられた!ということです。
---------------------------------------

EU一般データ保護規則(GDPR)の内容 & 現状の認知・理解度について

今回「GDPR」で定められた制裁金は、最大で全世界総売上(収益/売上高)の4%に相当する額、もしくは2,000万ユーロ(日本円で25億6千万円/1ユーロ:128円換算)という莫大なもので、いずれか大きい方の額が制裁金として課されるほか、対象となる企業・組織の「業務差し止め」を命じる権限も監督当局にあります。十分な注意と対策が必要な内容ですが、トレンドマイクロ株式会社が、先月17日に公開した調査結果では、現時点での「GDPR」に関する認知・理解度・対応状況は以下の通りです。

■トレンドマイクロ株式会社 2018年5月17日リリース
EU一般データ保護規則(GDPR)対応に関する実態調査より抜粋
---------------------------------------
<調査概要>
□実施時期:2018年3月27日~2018年4月5日
□回答者:日系ならびに外資系法人組織における主任以上の意思決定者・意思決定関与者998名
□回答者属性内訳:(民間企業および官公庁自治体を含む)情報システム責任者(441名)、経営企画責任者(284名)、法務部門責任者(169名)、リスク管理責任者(104名)計998名
□手法: インターネット調査

<主な調査結果/引用>
●施行開始目前にもかかわらず、66.5%は「GDPRを理解していない」
→GDPRに関する認知度・理解度を調査した結果、「内容について十分理解している」と回答したのは全体のわずか10.0%に止まることが分かりました。「名前だけは知っている」、「知らない」という回答が全体の66.5%を占め、施行開始を目前にGDPRに関する十分な認知・理解が進んでいない実態が明らかになりました。

●「EEA参加国国民の個人情報を取り扱っている」法人組織の53.2%が個人情報の漏洩を経験
→自身が勤める法人組織の国内・海外いずれかの拠点においてEEA(European Economic Area:欧州経済領域)参加国国民の個人情報を取り扱っていると回答した573名のうち、半数以上の53.2%が自組織において当該個人情報の漏えいを経験していることが明らかになりました。

●「GDPR対応が完了している」のはわずか10%
→EEA参加国国民の個人情報を取り扱っており、かつGDPRの内容について理解している299人を対象にGDPRへの対応状況を調べたところ、「対応済み」と回答したのはわずか10%に止まることが分かりました。
---------------------------------------

いかがでしたでしょうか。
今回の「一般データ保護規則」とは内容が異なりますが、EUには「EU競争法(日本で言う独占禁止法)」という、厳しい規制と罰則が定められた法律もあり、これまでさまざまなグローバル企業が莫大な制裁金を課せられています。個人情報保護関連のご担当者さま、海外との取引を行われている企業のご担当者さまは、十分に注意が必要ですので、ご参考にしていただきたいと思います。

■参考情報:トレンドマイクロ株式会社 2018年5月17日リリース
EU一般データ保護規則(GDPR)対応に関する実態調査を発表
~施行開始を目前に控え、66.5%はGDPRを「知らない」、「理解していない」~
https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180517-01.html

ページトップへ