あれもこれも個人情報で保護? EUで始まった「データ保護規則」は対岸の火事ではない

カテゴリ:ワールド

  • 5月25日から欧州の「一般データ保護規則」(GDPR)の適用が始まった
  • いわゆる“個人情報保護法のEU版”だが、アメリカなど全世界に影響が出ている
  • 弁護士「日本でも早急に対策をとるべき」

欧州の「一般データ保護規則」(General Data Protection Regulation:GDPR)の適用が、5月25日から始まった。

GDPRとはEUにおける「一般データ保護規則」で、日本でいう個人情報保護法のようなもの。
欧州経済領域(European Economic Area:EEA)に所在する個人のデータの処理や移転に関する要件などを規定した法令となっている。

このEUにおける保護規則だが、アメリカなど世界に影響を与え始めている。例えば、ロサンゼルス・タイムズなどの一部主要紙のニュースサイトが欧州で閲覧できない状態になったのだ
cookieへの対応を含む、GDPRが求める個人情報保護対策ができていないことが原因とされ、主要紙側が一時的にサイトを閉鎖しているとみられている。

では日本にはどのような影響があるだろうか? 専門家に聞いた。

「個人データ」は氏名だけでなく、cookieなども該当

最初に聞いたのはGVA法律事務所の鈴木景弁護士。

ーーGDPRでは、具体的に「個人データ」とはどのように定義しているのか?

個人データとは、EEA(EU加盟国28カ国に、アイスランド、リヒテンシュタイン、ノルウェーの3国を含む31カ国)域内に所在する個人の、識別された、又は識別され得る自然人に関する全てのデータをいいます。

具体的には、氏名、識別番号、所在地データ、メールアドレス、オンライン識別子(IPアドレス、cookie識別子など)、身体的、生物学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因などが、これに該当するとされています。

ーーEEA域内に所在する人の「個人データ」だと、日本企業にはあまり関係ないのでは?

いえ、事業者がEEA域内に拠点を有していない場合であっても、EEA内に住む個人に対して商品やサービスを提供する場合や、EEA域内でのデータ主体の行動のモニタリングを行う場合などには適用されると定められています。
そのため、EEAに拠点がない日本企業にもGDPRが適用される可能性があります。例えば、EEAの居住者に向けたECサイトなどでの通信販売は注意が必要です。

ーー米主要紙のサイトが欧州で見られなくなりました。このような事態は日本でも起こるのでしょうか?

GDPRでは、cookieによるデータ取得は、個人データの処理としてGDPRの規制を受けることになります。

そこでGDPRが適用される場合には、cookieによる情報取得にあたっても、これまでのフローの見直しを含めいろいろな対応を取る必要があることから、EEA域内からの情報取得に関する自社での比重によっては、一時的にEEA域内に対するサービス提供を中断する、ということを選択肢の一つとして考慮することもありうると考えます。

日本でも早急に対策を取るべき

ーー日本でも早急にcookie対策を取る必要は?

日本企業が、EEA域内からcookieを用いて情報を取得する場合、EEA域内に拠点を有していないとしてもGDPRが適用される可能性がありますので、まずは自社への適用可能性を確認し、対策の要否を検討する必要はあると考えます

ーーこのようにcookieを個人情報とする考えは日本にも広まる?

個人データについては保護の必要性がある一方で、収集した個人データをビッグデータとして利活用することにより、社会・経済を発展させていく必要性も叫ばれるところではあります。

そのような中で、欧州という一つの大きな経済圏で個人データ保護の動きが取られたことは大きなインパクトがあります。このようなデータ保護の動きがすぐに広がるとは言いがたいですが、世界的な潮流として、個人情報の保護を重視する流れが強くなる可能性はあると思います。個人情報の利用可能性と保護の必要性の調和的なルールメイクの方法を模索していく必要性は高いでしょう。

個人情報保護はEUが一番厳しい。いずれ日本にも波及

そして、ITジャーナリストの三上洋氏も見解も鈴木弁護士とほぼ同じだ。

ーーGDPRに対して、日本の企業はすでに対応をしているのか?

EEA内に本社、支社がある、EEA向けに商品を売っている企業はGDPRが適用されるので、対応をしていないとアウトとなります。例えば、ネット通販ではEEA居住地から注文があって、注文者の個人情報を扱うのならGDPRの対象です。

ネットサービスでも同様ですから、日本のネット関連企業の多くがGDPRへ対応しなくてはならないのです。

また、ウェブサイトではcookieと呼ばれるデータを収集しています。cookieとはウェブサイト閲覧時に閲覧者を記憶・追跡するデータのこと。多くのサイトがcookieで閲覧者を識別しデータ保存していますが、これもGDPRの対象です。しかし対応している日本企業はまだ少数にとどまっています。

ーーこの個人情報保護の規制の考えですが、EUだけでなく世界に広がっていくでしょうか?

個人情報保護についてはEUが一番厳しいルールを定めています。事前にユーザ一人ひとりから、「データを収集してもよい」というような明確な許可を求め、データの扱いに対するクレームにもきちんと対応するように求めています。

また最大、2000万ユーロ、または前年売上高の4%と、類を見ない罰金も設定され、非常に厳しい内容となっています。

一方でアメリカはIT大手4社(Apple、Google、Facebook、Amazon)があり、EUほど厳しいルールは課せられていません。それに対し日本は、この問題に関しては後追いで進めているのが現状で、個人情報保護法の改正があったのは1年前。個人情報をしっかりと守っているかというと、格段に甘いのが実情です。

今後は、日本企業のサイトがEUのフレームワークに合わせるか、または日本政府がこのEUのフレームワークに合わせて法改正などしていくのではないでしょうか?

このように、EUが進めるこのネットプライバシーの保護の考え方は、いずれ日本など世界に広まっていくと思います。


こう話を聞くと、今後影響がありそうなのは広告業界かもしれない。例えば、ネットユーザーの閲覧履歴を元に、そのユーザーの興味がありそうな広告を表示する「行動ターゲティング広告」だ。

「海外旅行でもしようかな」といろいろなサイトを検索すると、その後、別のサイトを開いた際に「旅行の広告」が出るアレだ。

閲覧履歴などが個人情報として保護されると、収集が難しいのではないだろうか。