2018年05月8日

2018年5月25日、EU一般データ保護規則（General Data Protection Regulation：GDPR）の適用が開始される。2016年4月に欧州議会で採択されてから2年余り。その罰則の厳しさ（義務に違反した場合、最大2000万ユーロ、または前年度全世界売上高の4％のいずれか高い方の制裁金）から、徐々に注目を集めるようになり、適用を目の前にした現在も、「果たして自社のGDPR対応は完璧なのだろうか」と頭を悩ませている日本企業は多い。

なぜ対策を尽くせないのか。答えはGDPRという規則を遵守できているかどうかを実務レベルに落とし込んで考えた時、その成否が不鮮明な部分が残るためだ。すでに、GDPRの条文は公表されている。ただ、条文だけで判断することが困難な業務もある。EUの29条作業部会（Article 29 Working Party）では、企業にGDPRを遵守してもらうためのガイドラインを順次公表している。しかし、今なお「公表予定」等のステータスで止まっているものがある。明確なガイドラインがあれば企業側は「何をしなければならないのか」を具体的に理解し、適用に備えることができるのだが、それが施行直前の現在でも全ては手に入らない状況なのだ。

この分野におけるエキスパートとして、多くの日本企業にアドバイスを提供してきたデロイト トーマツ リスクサービス株式会社の北野晴人氏は、「GDPRの適用を不安に感じている企業は多く、最も多く受けるのはデータ移転についての相談です」と話す。ガイドラインが公表されていない項目の1つは、まさにその「第3国へのデータ移転のための例外」についてのものだ。

GDPRは、平たく言えば個人の「プライバシー権」の保障を目的とする。都市部では「向こう三軒両隣」、農村部でも濃密な共同体意識の強かった日本において、プライバシー権について意識されるようになったのは戦後になってからだと言われている（初の判例は、三島由紀夫の『宴のあと』をめぐる裁判。1961年に開始され、64年の地裁判決でプライバシー権が認められた。二審中に原告が死去したため遺族と和解）。プライバシーという単語も英語をそのままカタカナ表記したものであり、日本語にそれに相当する言葉が存在しないことがわかる。いまでこそ日本でも基本的人権の枠組みの中で保障された権利として浸透してきたが、欧州では古くから個人のプライバシー意識が強く、プライバシー権は基本的人権の重要な構成要素という位置づけになっている。「自分の知らないところで、どんどん自分のことが知られてしまうことに対する怖さ」から、GDPRが守ってくれるという認識になる。

GDPRにおける規制事項は、大きく3つ。基本的権利の保護、個人データの処理、および個人データの移転だ。

• プライバシーは個人の有する不可侵な権利であり、
• 提供したプライバシーを安全に管理させて提供目的以外に使用させず、
• 勝手に知らないところへ持ち出すことを許さない

プライバシー権を持つ個人の視点から、以上のように考えればわかりやすいのではないだろうか。

つまり、GDPRは、企業活動を制限する規制でも、国家による統制でもなく、人間のプライバシー権を保障するルールなのだ。企業のビジネスプロセスや、使用するシステムが安心して情報を渡すに足るものであるかどうかを個人が判断することは難しい。そのために、GDPRのような規制が必要になる。

GDPRは突然現れたわけではない。1995年にEUデータ保護指令（Data Protection Directive）が採択され、1998年に発効した。その後、インターネットの爆発的な普及によって国境を越えたデータ流通が盛んになり、コンピュータ技術が飛躍的に進歩した結果として高度な分析が可能にになったことなど、当時想定していた要件だけでは、人々のプライバシー権を保障できなくなってきた。そこでEUデータ保護指令の後継として生まれたのが、GDPRだ。ただしEUデータ保護指令は「指令＝Directive」であり、EU加盟各国は細部を国内法として自由に定めることができたのに対して、GDPRは「規則＝Regulation」。EU加盟各国に同一のルールが適用されることになる。

「これまでは欧州でビジネスをしていると、国ごとに手続や運用を確認しながら、やり方を変えて対応する必要があったのですが、GDPRで規制に“格上げ”されたことでシンプルになります。企業にとって、GDPR対策として個人情報取扱業務の規制遵守プロセスを一本化できることはメリットになるでしょう」（北野氏）

多くのグローバル企業は、EUデータ保護指令遵守のためのプロセスをすでに実装しているはずである。多国籍企業であれば、欧州法人にはEUデータ保護指令に準拠したプロセスがあるはずだ。域外へのデータ移転についても、拘束的企業準則（BCR）や標準契約（SDPC）で現行法の要件を充たしていれば、それに準拠したプロセスを継続することで問題はクリアされそうだ。ただし、これから欧州市場へ進出したい企業にとって、GDPRは新たな課題になるだろう。

適用時までにシステム側で対応しておかなければならない項目もある。たとえば、個人が企業に蓄積したデータの消去を求める「削除権（忘れられる権利）」では、関連するすべてのシステムから、データに不整合を起こすことなく関連情報をすべて削除する仕組みが必要になると言われているが、技術的な観点や、運用が可能かという観点では課題が多い。

そのほか、システムの自動処理のみに基づいてプロファイリングされる対象にならないことを求める「自動化された個人の判断に関する権利」、企業が蓄積したすべての自身の情報を構造化された汎用的なデータフォーマットで請求できる「データポータビリティの権利」などを充たすためにもシステムや運用における対応が必要になりそうだ。この点についても具体的な実装としては課題が多い。

システム整備には時間とコストがかかる。それでも北野氏は、「GDPRの適用をむしろチャンスととらえ、プライバシーについて深く考えるきっかけにしてほしいのです」と話す。マーケティング部門においても、システムに加え、各種規程の変更や、ビジネスプロセスのギャップ分析など、いまからでもチェックしておくべき項目はあるだろう。その際には、「面倒な規制だ」と嘆くのではなく、「顧客のプライバシー権を守るための業務」として能動的に取り組んでほしい。

「GDPRを理解することは、“プライバシーに優しい組織”になるための第一歩。企業が顧客の個人情報をマーケティングに使うのであれば、提供してくれた顧客に対して優れたサービスとして還元することを目指して頂きたい。企業が自社のビジネスで社会を発展させ、優れたマーケティングで顧客により良い体験を提供したいと望むのであれば、GDPRは守るべき最低限のルールの１つであるという認識でいてください」（北野氏）

EU一般データ保護規則（GDPR）適用において、マーケティング施策として特に留意すべきは、顧客のプライバシー情報取得における「同意の取り方」だ。どのように対応すべきか、後編で紹介する。

GDPRを好機ととらえ、プライバシーに優しい企業へ～ プライバシー情報取得における「同意の取り方」とは

UNITE編集部