まず何をしたら良いか分からない方へ | テクニカ・ゼン会員制プライバシー・リスク情報サイト

JETRO さんのお仕事をしていて最も多いのは、「新聞でGDPRというものが話題になっており、制裁金も大きいため対応が必要と聞いたけれども何をしたらいいのか良くわからない」というご相談です。ここでは、そんな方に向けて何をするかについてご説明します。

1．欧州データ保護規則（GDPR）っていったいなんですか?

欧州データ保護規則（General Data Protection Regulation (GDPR)）とは、一言でいうと欧州の個人情報保護法のようなものです。

インターネットの発達のおかげで私たちの生活はとても便利になりました。買い物も役所への登録もオンライン上でのデータのやり取りで済んでしまう時代です。私たちが意識的・無意識的に提供しているデータは、いつの間にか私たち一人ひとりの生活をすべて公開してしまっています。個人データを取得している組織は、その気になれば誰がいつどこで何をしていたのか、その人の嗜好は何か、考え方の傾向はどのようなものか、収入レベルはどんなものか、といったことを把握することができるようになっています。

デジタル・エコノミー化する時代にあっては、個人データの適切な保護が喫緊の課題です。私たちには「一人にしておいてもらう権利」があり、誰にも監視されていない世界が必要だからです。

「私は別に悪いことをしていないから隠すことは何もない」とお思いでしょうか?

そう思っていらっしゃる方は、プライバシーについての興味深いTEDでのスピーチを聞いてみてください。エドワード・スノーデンから接触を受け、インタビューを行ったグレン・グリーンウォルドのスピーチです。プライバシーの保護とは、実は人が自由と権利を侵害されないための基本的な条件であることがわかるはずです。

２．GDPRでは巨額の制裁金が課せられると聞きました。本当でしょうか?

GDPRでは最大 2,000 万ユーロまたは世界売上高の 4 % を上限とする制裁金が設定されています。しかし、このような巨額の制裁金が日本の企業に課せられる可能性がどの程度あるのかについては慎重に検討をしたほうが良いでしょう。GDPR 対応が盛り上がった 2017 年、大手の新聞社をはじめとするメディア、コンプライアンス関係のコンサルティングを行っている各社がいっせいに制裁金リスクを吹聴しましたが、同じ業界にいる人間としてそれは恥ずべき行為ではなかったかと感じています。

GDPR 対策の本質はあくまで欧州所在の個人の自由と権利を守ること(GDPR 第１条(2))であり、欧州の監督機関も繰り返し「制裁金が目的ではない」というメッセージを発しています。私たちビジネスを行う存在も、企業として社会に存在を許されるための「社会的責任」を果たすために、個人データを適切に保護するという姿勢が必要ではないかと考えています。

制裁金についてですが、制裁金は対象となる組織の規模、支払い能力を加味して決定されます。違反の度合いによっても金額は変わりますので、制裁金の事例を分析しながら、自社が想定すべき金額を考えておくと良いでしょう。当サイトでも欧州をはじめとする制裁金事例をご紹介いたします。ぜひ会員になって情報収集に努めていただければと存じます。

もう一点、制裁金に関連して注意が必要な点があります。制裁金というのは当局が組織に対して課すものですが、制裁金が発生するような事象が起こると民事裁判も併発する可能性があります。その場合、個人への損害賠償が必要となります。2017年の統計では、データ流出事故が発生すると個人データ１件当たりの損害賠償額は平均141ドルとなっています。ちなみに、データ侵害事故が発生した場合の平均コストは約４億円です。

金額として現れるものは氷山の一角です。見えないコストとして、売り上げの損失、ビジネス機会の損失、対応にかかるスタッフの時間、顧客や消費者からの信頼の低下といったものがあるのも忘れてはなりません。

３．GDPR 対応をとりあえず何か始めようと思うのですが、何からはじめればよいでしょうか?

一番わかりやすい対応のしかたは「目に見える部分」の手当てから始めることです。
「目に見える部分」というのは、例えば以下のものです。

ウェブサイトに掲示しているプライバシー・ノーティス（日本の企業ではプライバシー・ポリシーと記載しているところが多い）をGDPRにあわせてアップデートする
展示会やメール送信時等で掲示するためのプライバシー・ノーティスを準備する
ウェブサイトに Cookie についてのバナーを準備し、Cookieについての同意を取得する
メールマガジンを配信している相手から「同意」を取得していることを確認し、もらっていない場合は「同意」を再取得するかメールマガジンの配信を容易に opt-out できる選択肢を読者に提供する

といったものとなります。

「目に見える部分」の対策でトリッキーなのが、プライバシー・ノーティスを作成するためには「データ・マッピング」という作業が必要になることです。「目に見える部分」だけに、いかにも即席で作りましたということが伝わってしまうものであれば、逆に社会の反感を買うこととなります。それは、組織にとっても社会にとっても不幸な結果を生むこととなるでしょう。

コンプライアンスとは、突き詰めると社会からの「信頼」を得るための活動です。

「当たり前のことを馬鹿になってちゃんとやること」

これに尽きます。

データ・マッピングを行い、組織内にある欧州個人データの数、種類、所在地、取得目的、保管期間、安全保護策、開示先といったことをまずは整理してください。すべてはそれから始まります。

４．データ・マッピングはどのようにすればよいでしょうか?

データ・マッピングを行うためには、組織内にある欧州個人データの所在地を調査することからはじめます。
GDPR では組織内における欧州個人データの処理の目録を作成することも求められていますので、後々の作業を考えながらデータ・マッピングを進めていくことが望ましいでしょう。

データ・マッピング対応には大きく２通りの対応方法があります。
一つ目はエクセルを用いる方法。二つ目はプライバシー・マネジメント・ソフトウェアと呼ばれるソフトを用いる方法です。

中小企業や欧州での取引が少ない企業の場合はエクセルでの対応十分でしょう。
組織の規模が大きく、欧州での取引規模が大きい場合はプライバシー・マネジメント・ソフトウェアの導入を考えてください。

エクセルでの管理は複雑になりがちです。法律事務所に GDPR 対応を依頼するとほとんどの場合エクセルのシートを渡され、大量の作業を命じられることとなりますが、これは現実的な対応なのか疑問がわくところです。データ・マッピングは継続的に管理が必要なので、管理できる形で作成し、メンテナンスを行う必要があるからです。

年間の個人データ処理が２０以上あるような組織であれば、プライバシー・マネジメント・ソフトウェアの導入を検討してください。
エクセルでやるよりもはるかに小さな労力で、エクセルよりもはるかに効率よく個人データの管理が可能となります。

当社がご紹介している Nymity のほか、OneTrust、TrustArc といったベンダーが有名です。どの会社も無料でデモを行ってくれますのでぜひご相談ください。必要でしたら当社でもデモのアレンジを行っておりますのでお気軽にお申し付けください。

エクセルでのデータ・マッピングを行う場合は、当社の提供している GDPR 初期対応セットを活用すると効率的に GDPR 対応が行えます。（実はすべてのデータ・プライバシー法への対応も同時に進められます。）確認すべき項目、整理の仕方、関連して準備すべき文書のテンプレート等がすべて揃っていますのでぜひ導入をご検討ください。

自社で独力で対応されたいという場合は、自分たちの保有する欧州個人データ台帳を作成してみましょう。作った個人データ台帳をもとに、保有するデータの種類、数、適法根拠、開示先、域外移転の有無、安全保護策を整理しますので、こういった内容を整理できるようにエクセルを工夫してください。

当社の会員ページ内にも進め方の解説があるので、そちらも参照にしていただければ幸いです。