欧州連合（ＥＵ）は２５日、個人情報保護を大幅に強化する新規制「一般データ保護規則（ＧＤＰＲ）」を導入した。企業や団体が個人情報を域外に持ち出すことを原則禁じ、違反には巨額の制裁金を科すため、世界一厳しい個人情報規制とされる。日本企業も規制対象になるが、対応できているのは一部とみられる。

新規制は、ＥＵ２８カ国にノルウェーなど３カ国を加えた欧州経済領域（ＥＥＡ）で実施。対象の個人情報は「個人を識別できるあらゆるもの」で、名前やメールアドレス、クレジットカード情報などで、こうした情報をＥＥＡ域外に電子メールで送ったり、社内のシステムで他地域から見られるようにしたりすることは原則、違法となる。例えば、同じ企業内でもパリ支店の社員が東京本社の同僚に、こうした情報を含むメールを送る場合は違法だ。

拠点を問わず、ＥＥＡ域内でビジネスをする企業は対象となるため、多くの日本企業が含まれる。情報漏洩（ろうえい）などで違反が発覚すると、最高額として、２千万ユーロ（約２６億円）か全世界の売上高の４％か、多い方が制裁金として科される。日本はＥＥＡと同程度の個人情報保護がされていると認められていないため、日本企業は、情報保護の仕方などを定めたＥＵ指定の契約を企業間で結ぶなどの特別な対応が必要だ。

セキュリティー大手のトレンドマイクロが今春、日本の企業や自治体を対象に調べたところ、ＧＤＰＲに「対応済み」と答えたのは１割にとどまる。今回の規制に詳しい在ブリュッセルの杉本武重弁護士は「日本企業が制裁を科される可能性は十分ある。重要なのは、対応状況が不十分でも準備を着実に進めているという姿勢を当局に示すこと」と指摘する。

◇

杉本弁護士に、日本企業などに求められる対応を聞いた。主なやりとりは次の通り。

――世界一厳しい個人情報規制とも言われています。底流にある理念は何だと理解すればいいですか。

人権保護です。ＥＵは以前から個人データの保護を基本的人権と位置づけていましたが、技術革新によって個人データを取り巻く状況が大きく変わったことが今回の規制の背景にあると思います。大量の個人データが一部のＩＴ企業に集中する一方、便利なサービスにひかれた利用者はガードを下げ、よく理解しないまま個人情報を提供してしまっています。ＥＵは巨額の制裁金という強力な鉄槌（てっつい）を用意することで、個人の権利と企業活動のバランスを元に戻そうとしているのだと思います。

――規制対象は拠点にかかわらず、ＥＵ向けにビジネスをしている企業です。日本企業の準備状況をどのように見ていますか。

制裁金が巨額になる可能性があることから、認知度は高まっていますが、準備万端（整っている）というのは一部の企業だけだと思います。今回の規制の特徴は、個人情報を適法に取り扱うための条件を規定しているだけでなく、域外に移す行為を原則禁止としていることです。そのため、対応に相当な時間と手間がかかります。規制は企業の規模に関わらず、同じ対応を求めていて、中小企業が対応するのは相当難しいと思います。大半の企業は完璧に準備できておらず、優先度を決めて対応を進めているというのが実態です。

――日本には米国のような巨大ＩＴ企業はありません。日本企業が制裁金を科される可能性はどの程度あると思われますか。

十分あると思います。考えられ…