『週刊ダイヤモンド』6月2日号第1特集は「個人情報規制　GDPRの脅威」です。5月25日、欧州発の個人データ保護に関わる新しい法規制、GDPR（一般データ保護規則）が施行されました。多くの日本企業が適用の対象になり、違反すれば最高で数十億円以上の巨額の制裁金が科せられます。ところが、日本企業の対策は周回遅れの状況です。

Photo:iStock/gettyimages

「欧州が、米国のグーグルやフェイスブックと、“一戦”を交える覚悟を決めたということ」──。

　個人データ保護に詳しいある識者は、欧州連合（EU）が5月25日に施行した「一般データ保護規則（General Data Protection Regulation：GDPR）」の真の狙いをそう指摘する。

　GDPRとは、1995年に採択された「ＥＵデータ保護指令」に代わる形で2016年に採択された、新たな個人データ保護の法律だ。ＥＵ加盟国に欧州3ヵ国を加えたＥＥＡ（欧州経済領域）域内31ヵ国に所在する、全ての個人データの保護を基本的人権と位置付けて、大幅な規制強化が図られた。

　GDPRは、個人の名前や住所などはもちろん、ＩＰアドレスやクッキーといった、インターネットにおける情報までも網羅的に「個人データ」に含め、その処理（収集や保管）に類を見ない厳格な順守を求めている。個人データのＥＥＡ“域外”への持ち出しは原則禁止。そして、違反者には最高で、世界売上高の4％か2000万ユーロ（約26億円）のうち、いずれか高い方という超巨額の制裁金が科せられる。

　制裁金の額と合わせ、世界中の企業を震え上がらせているのは、この法律がその事業規模や本社が所在する国・地域に関係なく、ＥＥＡ域内の個人データを処理するほぼ全ての組織に及ぶという点だ。

　ＥＥＡ域内の個人データを処理しているのは、何も欧州の人々を相手に直接サービスを提供する宿泊・観光や運輸、ＥＣなどの企業、現地に子会社や工場を持つグローバル企業だけではない。