2018年5月にEUで施行されたGDPR（EU一般データ保護規則）。これは、いったいどのようなものなのでしょうか。GDPRの意味や定めている事項を理解し、日本企業が対応すべきポイントを考えていきましょう。

「EU一般データ保護規則」（GDPR：General Data Protection Regulation）とは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことで、2018年5月25日に施行されました。自然人の基本的な権利の保護という観点から、個人情報の扱いについて規制を行っています。GDPR以前のEUデータ保護指令からさらに厳格化されており、具体的に重要な規制は以下のような事項です。

GDPRの特徴は、規制に違反したときに多額の制裁金が課せられることです。EU居住者の個人データを取り扱う場合、EUで活動する企業だけではなく、企業規模に関わらず、多くの日本企業にとっても対応が求められています。

GDPRでは、以下のような内容について詳細に定められています。

GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかが、EU域内に拠点を置く場合が対象です。また重要なポイントとして、EU居住者の個人データを収集・処理する組織は、EU域外に活動拠点を置いていてもGDPRの適用対象とされることが挙げられます。 インターネットが普及した現代において、ネット通販などグローバルにサービスを提供できる今、日本企業においてもGDPRの指針に基づいた企業としての対策が求められてくるのです。
では次に、その対策ポイントについて考えていきます。

日本においても改正個人情報保護法が2017年5月30日から全面施行されています。また、2019年1月23日に個人情報保護法の対象範囲内に限り、個人データについて十分な保護水準を満たしていることを認める十分性認定を欧州委員会から受けました。これにより、企業は個別の契約を結ぶなど煩雑な手続き不要で、EU域内から個人データを持ち出すことができるようになりました。 しかし、日本が十分性認定を受けたとしても、データに対する保護措置は変わりません。日本の法令のみならず、GDPRを軸として企業における対応を整備していくことが依然として必要です。 日本企業においてGDPRへの対策が必要となるのは、以下のようなケースが挙げられます。

EUに子会社や支店、営業所を持つ企業については、現地法人の従業員や顧客の個人データをGDPRの原則に基づいて適切に扱わなければなりません。 EU域内で個人データを収集し、日本国内でその取り扱いを行うシーンなどでは、GDPRに基づいたデータ処理が必要となるでしょう。 GDPRでは、Cookieなどで得られる個人データの処理も対象です。また、EU域内に個人データを扱うデータベースやサーバーが設置されている場合もGDPRの適用対象です。さらには、ネット通販などでEU域内へ商品やサービスを販売しているケースにも、GDPRが適用されることになります。 このように見ていくと、事業状況からGDPRへの対策が求められる日本企業はかなり多いと推測されるでしょう。例えばネット通販を行っている場合、店舗やサーバーが日本国内に設置されていても、購入者がEU域内に居住していてその個人データを取り扱っているのであれば、GDPRの適用対象となるのです。そのため、日本国内のみでビジネスを行っているからと言って、自社に関係ない話だとは軽視できません。 企業における具体的な施策例として、GDPRの第32条および前文（83）では、データ保護技術のひとつとして暗号化が推奨されています。
そのため、クライアントPCやHDD、USBメモリーなどの記録メディア、共有フォルダなどの個人データの暗号化が必要となってきます。
しかし、これらをすべて人の手によって暗号化することは困難です。そこで、暗号化／復号を意識せず暗号化できるツールなどの導入を検討する必要があると言えます。 なお、GDPRは違反企業に対して非常に厳しい罰則を定めています。例えば個人データの取り扱いに関して適切な安全管理対策を実施しなかったり、GDPRが定めているとおりに個人データの取り扱いに関する記録を残していなかったり、あるいは、規定どおりにデータ保護責任者が配置されていなかった場合などには、最大で該当企業における全世界年間売上の2%または1千万ユーロの、いずれか高い方が制裁金として課されると定められています（第83条第4項）。さらには、個人データの基本的取扱い原則（同意の条件を含む）に違反したり、データ主体の権利を侵害したり、域外移転に関するルールを遵守しなかったりした場合などには、最大で該当企業における全世界年間売上の4%または2千万ユーロの、いずれか高い方が制裁金として課されると定められています（第83条第5項）。2022年には施行されて以来初めて、日系企業の処分が公表されました。EU内の子会社のセキュリティ対策の不備が指摘され、6万4,000ユーロ（約9百万円）の制裁金が科されたのです。違反を起こしてしまわぬよう、企業規模に関わらず大きな課題として取り組んでいくべきだと言えるでしょう。

企業のグローバル化が加速的に進んでいるほか、ネット通販などを含めて国を越えた取引が多く行われる昨今。日本という枠の中だけで事業展開の在り方を考えるのは、とても難しい状況ではないでしょうか。そのため、GDPRへの取り組みが必要となっています。長期的な企業の成長や戦略実現に向けて、個人データの取り扱いにおける取り組みの重要性は常識となりました。EUでのGDPRの施行という動きをひとつのきっかけとして捉え、さらにもう一歩踏み込んで考える必要があるのではないでしょうか。企業が情報の取り扱いやセキュリティについて再考することは、企業の社会的価値を高めることにも繋がるはずです。

PCのハードディスクや、USBメモリーなどのメディア、ファイルサーバーを暗号化して、内部不正や盗難・紛失から守ります。