GDPR

欧州一般データ保護規則(GDPR:General Data Protection Regulation)が施行される

コメントする
各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

近年、個人情報への社会の関心が急速に高まっている。
一方で、個人情報と聞いても、なんとなく気持ち悪いけれども具体的にどういう問題が生じるのかは知らない、わからない、というのが一般的な肌感覚ではないだろうか。

おそらくこれは、日本人という国民性が影響していると私は考えている。「集団」を重んじる私たち日本人にとって、「個人」の権利といわれても「なにをおいても尊重すべきもの」という感覚はそれほど強くない。

良いとか悪いという問題ではないのだが、たとえば、日常的に数十時間から、場合によっては100時間を超す(断ることが難しい)残業を「人権侵害」と訴えることに違和感を覚える日本人は多いだろう。
この感覚がある限り、現在世界で話題になっているPrivacy(プライバシー)について、正確に理解することは難しいと言わざるを得ない。

日本にとって、「個人情報保護」というのは、輸入された概念でしかない。そのため、欧州の人々が感じているような切迫感を日本人が感じるのは難しいだろう。

Personal Data(パーソナル・データ)保護で世界をけん引している欧州では、Privacy(プライバシー)の議論に切迫感がある。原動力となっているのは、「個人の権利」を護るという前提だ。欧州の様々な法制度や議論は、権力者が行った第二次大戦中に行われた「個人」からの搾取に対するアレルギー反応の産物といってもよい。それだけに、欧州におけるPersonal Data(パーソナル・データ)の議論は、生きた議論であり真剣なものだ。学ぶところも多い。

このブログでは、今話題の欧州一般データ保護規則(GDPR)の解説を軸にしながら、世界のPersonal Dataにまつわる動向と法制度、対応の温度差について解説する。最終的には「個人情報」の議論の本質と、対策のあるべき姿についても話をしたいと考えている。

読者としては、弁護士をはじめとするPrivacy(プライバシー)の専門家、企業の法務部門、企業の経営者層を想定している。できるだけわかりやすく説明していくが不明な点、質問があればいつでも問い合わせて欲しい。問い合わせはe-mailでも、コメント欄への投稿でも構わない。読者からのフィードバック、質問がこの問題を掘り下げる一助となる。どんな小さな事でも気軽に尋ねていただきたい。

ちなみに、この分野の話題であれば欧州に限らず、アメリカ、アジア各国の情報についても情報提供が可能だ。私はライフワークとして国内企業の海外法令・規格対応支援に取り組んでいる。海外にも専門家のネットワークがあるため、必要があれば直接問い合わせをして確認することも可能だ。お力になれることがあれば幸いである。

前置きが長くなったが、欧州一般データ保護規則(以下GDPR)について書いていこう。
GDPRとは、General Data Protection Regulationの頭文字をとったもので、定訳はないが、ここでは「欧州一般データ保護規則」と訳しておく。
GDPRは欧州経済領域(European Economic Area: EEA)に居住する個人のPersonal Dataを保護することを目的とした規則であり、2006年に採択されたされたDirective 95/46(一般に「欧州データ保護指令」と呼ばれる)に置き換わるものである。

欧州の法律だが、今、世界中で議論されている。
日本でも法律事務所や会計事務所がセミナーを開いたりしているので、お聞き及びの方もいるだろう。

最初に浮かぶ疑問は、欧州の規則がなぜ欧州以外の国々に関係するのか、ということだろう。たとえば日本をとれば、外国の法律はあくまでも外国の法律であり、日本に住む我々には影響を与えないはずである。

GDPRについて注意しなければならないのは、欧州の規則でありながら、非欧州国であってもこの適用を受けるケースがあるためである。

さらに、違反を摘発された場合、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されると定められている(規則83条5項)。

欧州の法律でありながら、世界中が着目しているのは、まさにこの違反条項があるためだ。

課徴金については独占禁止法(正確には「欧州連合競争法」)の考え方を参照して制定されている。
独占禁止法が欧州で施行されたときに、インテルが10億6000万ユーロ(14億5000万ドル)制裁金を課せられた(2009年告発、2014年インテルの訴えを棄却)ことを考えると、ただの脅しではなく実効性のあるものであると理解すべきである。

これはあるアメリカのプライバシー専門家の言葉だが、「欧州が勝手に決めたことを我々に押し付けて変革を迫るというのはナンセンスで迷惑な話でしかない」、というのが本音だろう。しかし、GDPRの施行は2018年5月25日だ。GDPRの適用を受ける可能性がある事業体は、速やかな対応が必要である。

(誰が対象となるのか、そしてどういう対応が必要なのかについては次回紹介する。)

GDPRに歓迎すべき要素があるとすると、歴史上はじめてPrivacyやPersonal Dataに関して世界が「共通言語」を持つようになった点である。欧州と米国は法整備の方針が異なっている。日本を含むアジア、オセアニア地域の法制度は混とんとしている。そういった状況の中、世界中の専門家がGDPRについて研究を始め、対策をとりつつある。議論が深まれば、GDPRの修正について議論が生まれる局面もでてくるに違いない。

GDPRは、同一の土台に立って対話を行う基盤を整備した。対話が始まるというのは大きな前進だ。歓迎すべき動きである。

私個人としては、Personal Data(パーソナル・データ)の尊重は煩雑であっても丁寧に議論し扱うべき内容と考えている。真に人を尊重する世界を形成する上で、避けてはならない議論が、Personal Data(パーソナル・データ)やPrivacy(プライバシー)の概念だ。人は自由に生きてもよい。独自の生き方を選択できる自由こそが、個人の幸福を促進する。Personal Data(パーソナル・データ)やPrivacy(プライバシー)について正しく理解し、対応することは、社会に幸福な人が増えるための基盤といってもよい。

少しでも多くの日本人が、この概念になじみ、より幸福な社会を形成する原動力となってくれることを願ってやまない。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください