こんな個人情報の持ち出しが原則違法に
欧州連合(EU)は25日から、個人情報保護を大幅に強化する新規制「一般データ保護規則(GDPR)」を導入する。企業や団体に対し、名前やメールアドレスなどの個人情報の厳重な管理を求め、域外に持ち出すことを原則、禁止する。違反した場合は巨額の制裁金を科す。欧州でビジネスをする日本企業に多大な影響を及ぼすが、対応は遅れ気味だ。
個人情報保護としては、世界で最も厳しいとされるこの新規制は、EU28カ国にノルウェーなど3カ国を加えた欧州経済領域(EEA)で実施。対象の個人情報は「個人を識別できるあらゆるもの」で、名前やメールアドレス、クレジットカード情報などが当たる。
企業などがこうした個人情報をEEA域外に電子メールで送ったり、社内のシステムで他地域から見られるようにしたりすることは原則、違法となる。例えば、ある企業のパリ支店で働く社員が東京本社の同僚に、こうした情報を書いたメールを送る場合などだ。
EEA域内でビジネスをする企業は全て対象となり、拠点が域内にあるかないかは問わないため、多くの日本企業が含まれる。情報漏洩(ろうえい)があったり、顧客の情報を域外の企業が無断で使ったりして違反が発覚すると、最高額として、2千万ユーロ(約26億円)か全世界の売上高の4%か、多い方が制裁金として科される。
米国やスイスなど一部の国は同程度の情報保護がされているとして、今まで通り個人情報を持ち出せる。日本も同じ扱いを求め、EUと交渉中だがまだ合意に至っていない。そのため、日本企業は、EUが指定する情報保護の仕方などを定めた契約を企業間で結ぶなどの対応が必要だ。一定以上の個人情報を扱う企業は、規制を順守するための「データ保護責任者」を置く義務も課せられる。
EUはネット上にある個人情報の保護を「基本的人権の保護」と位置づける。従来規制では、フェイスブックやグーグルなど一部の企業に大量の個人情報が集中する事態を想定していなかったことも背景にあり、企業に重い管理責任を負わせるのが狙いだ。だが、規制が厳しいことに加えて扱う情報の対象が広いこともあり、準備が整っていない日本企業が多い。(ブリュッセル=津阪直樹)