EU一般データ保護規則(GDPR)への対応支援

EUデータ保護指令からEU一般データ保護規則へ

EUにおける個人情報の保護は、1995年のEUデータ保護指令に従ってEU各国で整備された法規制によって対応されてきました。近年、ビジネスのグローバル化や、ビッグデータの台頭、クラウドサービスの利用拡大などのITの進化により、個人情報保護の重要性が高まる一方で、サイバー攻撃や内部不正等によって個人情報に関わるリスクが高まっています。
このような状況を踏まえて、1995年のデータ保護指令に代わる一般データ保護規則(GDPR: General Data Protection Regulation)が2016年4月に採択されました。GDPRは、2018年5月25日に適用開始となることから、多くの企業はGDPRの対応に向けた取り組みを進める必要があります。

EUデータ保護指令からEU一般データ保護規則へ

GDPRが求めるデータ保護要件

EUデータ保護指令が各国の法規制整備を求める指令(Directive)であったのに対し、GDPRは規則(Regulation)へと変わったことから、全てのEU加盟国に直接適用されます。また、個人情報の取り扱いや情報主体である個人の権利の明確化、さらには高額な制裁金など、要求事項がより厳格化されています。

多くの企業は、EUデータ保護指令によって整備された個人情報保護管理策を適用済みであることから、今回の対応は厳格化に向けた追加対応になると考えられます。しかしながら、PwCの調査によれば、英国では86%の企業がGDPR対応に向けた構想、戦略ができていません。
日本企業においても、GDPRが求める管理レベルを実現するための早急な検討着手が必要となります。

EUから米国へのデータ移転について

EUデータ保護指令に関しては、欧州と米国との間で「セーフハーバー協定」を締結することで、欧州から米国へのデータ移転が可能でした。しかし、2015年10月に欧州司法裁判所がセーフハーバー協定が無効であるとの判決を下したことから、欧州委員会と米国は、新たな枠組み「EU‐USプライバシーシールド」の導入で合意しました。このプライバシーシールドは、セーフハーバー協定と比べて米国における個人情報保護の要求レベルが厳格化されており、今後のGDPRの適用を意識したものとなっています。しかしながら、米国においてもプライバシーシールドの導入後間もないことから、具体的な対応はGDPRのガイドランの考慮と併せて検討される予定です。

英国における企業の対応状況

PwC英国法人が2016年1月に、英国に拠点を置くグローバル企業についてGDPRに向けた対応状況を調査した結果、ほとんどの項目で未達という回答が多数を占めました。
EUの個人情報保護はEUデータ保護指令に基づいて対応されてきたものの、すでに20年が経過したことから、その対応が必ずしも有効なものではなくなりつつあるというのが主な理由です。

また、別の調査においても、個人情報保護管理態勢そのものが必ずしも十分ではないことを示す結果が多数挙げられています。

英国における企業の対応状況-02

GDPR対応に向けたロードマップ

GDPRの対応には、法令順守のロードマップが必要です。
法令に従わなかった場合、今回の規制によって新たな権力を得た一般市民や規制当局、活動家によって強制的に対応を求められます。また、この権力によって一般市民は、当局や司法による対応に先んじて、個人データの管理を担う組織や個人データを取り扱う組織を追及することが可能になりました。
実際、英国のデータ保護監督機関への苦情相談窓口への問い合わせは年々増加しています。
GDPR対応は、データの種類、処理の手順やデータを取り扱う業務の分析から始まります。これは、時間を要する取り組みとなりますが、もし上手くいかなかった場合は、監督機関による制裁や一般市民からの訴訟のリスクに対応しなければならなくなります。

GDPR対応に向けたロードマップ

PwCによるGDPR対応の支援内容

GDPRは企業における個人情報の取り扱いだけでなく、域外適用のように、ビジネスそのものに影響を与えることが想定されます。また、個人情報の取り扱いを企業が外部委託している場合、その外部委託先も同様の対応が必要となります。このため、EUにおける規制ではあるものの、EUにおける拠点だけでなく、域外の拠点でもこの規制を考慮する必要があるため、本社側が主導的に対応を進めることが重要です。

PwCは、以下のサービスを通して、グローバルに事業を展開する企業によるGDPRへの対応を支援します。

(※1)PwC RAT(Readiness Assessment Tool)は、PwC 英国法人がGDPRの要求事項と企業の現状に対するGapアセスメントを実施することを目的として開発したツールです。
(※2)EUからの域外移転には明確な本人同意か、SCC(Standard Contractual Clauses:標準契約条項)、BCR(Binding Corporate Rules:拘束的企業準則)などを締結しておく必要があります。SCCはデータ移転元と移転先との間で締結が必要となるもので、EUデータ保護指令への対応としても推奨されている契約形態です。BCRは企業グループで1つの規定を策定するものであるものの、移転元当局の承認が必要となり、かつ雛形も無いため手続きが難しいとされています。
(※3)PIA(Privacy Impact Assessment)は、GDPRの中ではData Protection Impact Assessmentとして、新技術の導入等によって個人の権利を侵害するリスクが発生する可能性がある場合、企業におけるデータ管理者によって実施されることが求められています。

PwC GDPR RAT(Readiness Assessment Tool)

GDPRへの対応においては、各条項で規定されているものだけではなく、EUがGDPRによって達成しようとしている本質的なものを理解することが重要です。これは、(1)個人データに関わる個人の権利、(2)組織における個人データ保護の向上であり、さまざまなコンプライアンスプログラムにおいてこれらに「対応できている」ことがどのようなものであるかを理解することに繋がります。

PwCは、GDPRの分析や、多数の企業の対応状況調査を通して、「対応できている」ことに対して現状がどうであるかを評価、分析することを目的としてGDPRRATを開発しました。

PwC GDPR RAT(Readiness Assessment Tool)

英国のEU離脱(Brexit)による英国におけるGDPRの適用への影響は?

2016年6月23日の国民投票の結果、英国では、EUからの離脱支持派が勝利しました。
Brexitが英国とEUの関係性に与える影響についてはさまざまな議論が出ていますが、英国におけるGDPRの適用については、英国がいつ、どのような形でEUを離脱するかがポイントです。
こうした中、2016年10月にメイ首相は、リスボン条約50条を2017年3月までに発動させると述べていることから、英国がEUを離脱するのは2019年の夏ごろになると思われます。すなわち、GDPRが発効となる2018年5月時点では、英国もEU域内としてGDPRが適用されることになります。
また、英国は、自主的にGDPRを遵守する方向で動き始めており、GDPRにおいてキーとなる要求事項の充足に向けて、英国のデータ保護監督機関であるInformation Commissionerʻs Office(ICO)と英国の司法当局は協議を始めています。
ICOは、個人情報に係るより厳格なコントロールの必要性を認識しており、2009年に欧州における規制の枠組みの改正を要求した最初のデータ管理当局です。このため、英国は個人情報保護の厳格化を推し進める姿勢を取っていることから、GDPRの適用に向けた姿勢は崩さないものと考えられます。
※上記内容は、2016年10月1日時点の情報に基づく考察です。今後の情勢によって変わる可能性があります。