日本企業がGDPRについて考えるべきこと、そのためにエクイニクスがお手伝いできること

EUの規制が日本の企業にも影響がある?

ビジネスの現場において、GDPRという言葉を耳にすることが増えてきました。GDPRとは、一般データ保護規則(General Data Protection Regulation)の略称で、欧州連合(EU)が定めた個人の情報やプライバシーを保護するための法律です。日本の個人情報保護法と近い位置づけの法律で、個人に関する情報を扱う民間企業や団体に対し、個人の情報の取り扱い(処理と移転)に厳しい制限を課すというものです。

欧州の法律なのに、なぜ日本で話題になるのでしょうか。それは、この法律がさまざまな点において、非常に厳しいものとなっているからです。

ひとつは、企業が個人データを取得したり、また取得したデータを利用したりすることが、原則として禁止されているという点です。企業が個人のデータを集めて利用する場合は、個人から明確な同意を得る、保管や処理に関して厳密な手続きを取るといった、GDPRに定められた要件を満たした場合のみ、例外的に許されるという位置付けになっているためです。従って、すべての企業が、事業のなかで個人のデータを収集していた場合(会員登録、購買データの収集、アンケートなど)、GDPRに則った対応をしなければ、事業そのものの継続できなくなるわけです。

さらには、その影響が及ぶのは欧州の企業だけではありません。域外適用といって、欧州の企業や団体だけでなく、EU加盟国にグループ会社が存在する多国籍企業や、また欧州内に拠点はなくても欧州とビジネスを行っている日本企業も法律の対象となるからです。また、GDPRに違反した場合は、2000万ユーロまたは全世界の売り上げ高の4%のどちらか高い額が罰金として課されるからです。日本の感覚では、20億円以上にもなる罰金が企業に課されるというのは想像しづらいでしょう。しかし、現実として日本の中小企業であっても、事業の継続が不可能になるほどの罰金を課されるおそれがあるのです。

 

データには価値がある、だからこそ規制が必要

このようにGDPRが非常に厳しい法律となっているのには、さまざまな背景事情があります。もっとも大きなものとして、欧州ではプライバシーが人権として位置付けられているという点です。日本においては個人情報保護法により個人情報や個人に関する機微情報は守られていますが、プライバシーについて法律では特に定められていません。しかし、欧州では基本的人権としてプライバシーの保護が認められており、そのためプライバシーの侵害につながる行為も、GDPRで厳しく制限されているわけです。

日本においてGDPRが大きな話題になっているもうひとつの大きな事情としては、ビジネスにおけるデータの価値が非常に大きくなっている点です。ビッグデータを振り返るまでもなく、ありとあらゆる領域のビジネスが人工知能(AI)とデータによって変化しようとしています。AIが成長するためにはデータが必要であり、すなわちデータを大量に持つことがビジネスの生産性と競争力を高くすることができます。こうした認識が世界中の経営者に広まり、「Data is New Oil(データは新しい石油だ)」という言葉をメディアで頻繁に見かけるようになっています。

一方で、データのなかでも個人データは非常に大きな意味を持ちます。そこで個人データの利用を無制限に認めることは、将来において予想もしない事態を招く恐れがあるため、現時点では厳しい制限を課しているのです。例えば、銀行における融資の審査、クレジットカードの与信、さらには企業における採用活動など、さまざまな場面で個人の情報を基に判断がなされています。そうした場面でのデータ利用は効果的な反面、対象となる個人にとって不利になるケースも想定されます。これは企業と個人との関係のなかで、データによって個人の側が一方的にリスクを負うことになり、プライバシーを基本的人権とする欧州の感覚にそぐわないとされているのです。

これまでにも欧州では「忘れられる権利」に基づき、検索エンジン事業者に対して個人の過去の経歴に関する情報を検索結果から削除を義務づけるなど、単純な企業の利益よりもプライバシーを優先する判断を下してきました。今回のGDPRは、そうした流れのなかで、よりデータの重要性が増し、またインターネットやAI、さらにはIoTなどの新しい技術が登場するなかで、データの取り扱いをより慎重に行おうという欧州ならではの哲学によるところが大きいのです。

 

GDPRの影響がある日本企業の4つのケース

では、日本においてビジネスを行う私たちは、GDPRに対してどのように向き合えば良いのでしょうか。もう少し詳しく、日本の企業がどのような場合、GDPRが適用されるのか見てみましょう。

 

大きくは以下の4つの場合が該当します。

  1. 子会社等の現地法人をEU域内に設置している
  2. EU域内で個人情報を収集し、日本で処理している
  3. EU域内にサーバ等を設置して個人情報等を保管している
  4. EU域内に対して、日本からサービス提供や製品販売している

 

1)や2)の場合、EU域内の顧客の情報だけでなく、現地法人の従業員に関する情報もGDPRによる制限の対象となります。例えば、現地従業員の昇進や昇給といった判断を日本の本社で行う場合、その従業員の情報を日本に移転する場合はGDPRに基づいた処理が必要となります。3)は、仮に運営企業が日本にある場合でも、サーバがEU域内にあるのであればGDPRに基づく対応が必要となります。また4)の場合、サーバや事業所が日本にある場合でも、GDPRへの対応が必要となります。

このように、ビジネスにおいて欧州が係わる部分を持つケースでは、ほぼ確実にGDPRへの対応が必要となります。では、ITシステムの観点からGDPRには、どのような対応が必要なのでしょうか。

 

GDPRへの備えにエクイニクスが支援できること

ひとつには、できるだけ個人のデータをそのデータの由来する地域に近いところで管理するということがあります。GDPRにおいては、個人データの国を超えた移転には厳しい制限があり、要求される水準をクリアした場合のみ個人データの越境が可能になります。そうした煩雑さは一方で別のトラブルの要因になりかねません。そこで、EU域内の個人データはできるだけ、EU域内で保存することが望ましいわけです。

 

エクイニクスは、5大陸52主要経済都市に200カ所以上のデータセンターを展開しており、ヨーロッパおよび中東だけでも73のデータセンターを提供しています。これらのデータセンターは、すべてにおいてGDPRの要求水準を満たすだけでなく、日本国内のデータセンターと同じように利用できます。

また、GDPRの保護の対象となる個人データに関して、多いインシデントのひとつが情報漏えいです。デジタルデータの場合、サーバ等への物理的なアクセスによる漏えいと、サイバー攻撃等によるデータ流出の可能性があります。前者に対しては前述のデータセンターの物理的なセキュリティが有効で、GDPRに沿ったデータの安全性を提供可能です。例えば、エクイニクスのデータセンターは物理的なセキュリティとして、バイオメトリクスやエリア制限などの厳格な入退室管理、監視カメラによる録画といった堅牢な保護措置を講じ、スタッフも24時間365日常駐しています。

 

データの安全な保管に欠かせない暗号化に関しては、また異なる観点での注意が必要です。特に昨今のクラウドやオンプレミスが混在するハイブリッド環境下においては、暗号鍵のライフサイクルを考慮した鍵管理が必要とされます。エクイニクスでは、GDPRが要求する個人データの保護水準を満たすソリューションとしてEquinix SmartKeyを提供しています。

このほかにもエクイニクスでは、グローバルにデータセンターとインターコネクション(相互接続)を提供する事業者として、企業がGDPRに対応するためのソリューションを用意しています。これまでさまざまなお客様へサービスを提供してきた経験から、GDPRへの対応に想定しうるすべての要求に対応しており、あらゆる企業や団体のお客様に安心してお使いいただけます。

Print Friendly


Related Content

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です