「忘れられる権利」で知られる「EU(欧州連合)データ保護規則」が2018年に施行される。EUデータ保護規則は「忘れられる権利」以外に、日本にはない個人情報を保護する考え方が数多く追加されている。現状でも、日本企業の個人データの扱いが日本国内で大きな問題にならなかったのに、欧州で制裁金を科せられた例は既にある。既にEUの個人情報を保護する法律と日本企業の考え方に大きなギャップがあるのだ。そんな状況でEUデータ保護規則が施行されると、日本企業はさらなる窮地に追い込まれることになる。専門家は異口同音に「日本企業が他人事なのは危機だ」と警鐘を鳴らす。
人間の運転なしで自動走行できる自動運転車、ITが生み出す金融サービス「FinTech」、センサーを搭載した全てのモノがインターネットでつながり情報をやり取りする「IoT(Internet of Things)」―。これら全ての技術に影響する法律が、EUデータ保護規則である。EU加盟28カ国で2018年に施行する見通しだ。
EUデータ保護規則は、EU域内28カ国で個人データの保護する法律となる。個人データを扱う企業が域外へのデータの持ち出しを厳しく規制し、違反企業には最高でその企業の世界全体の売上高の4%という行政上の制裁金を課す。もはや必要とされない場合などの理由で個人データをデータ管理者が消去する「消去権(忘れられる権利)」も盛り込んだ。
「日本企業もしっかりと対応しなければならない」。経済協力開発機構(OECD)の情報セキュリティ・プライバシー作業部会の副議長の一人である新保史生・慶応義塾大学総合政策学部教授は警鐘を鳴らす(写真)。
欧州にはこれまで「欧州データ保護指令」があったものの、加盟各国の法律の内容にばらつきがあり、それぞれの地域のデータ保護機関への届け出が必要だった。新保教授によると、規則の変更によって、一つの大陸(one continent)で、一つの法律 (one law)によって、一つに集中(one-stop-shop)する。従来の個人情報保護ルールをEU域内で均一化することを目指している。
欧州データ保護の規則案は2015年12月に、EU加盟国の政府や欧州議会、欧州委員会の3者間で合意が成立。欧州議会が近く2016年春にも本会議で可決する見通しで、2年の公布期間を経て18年に発効する。
欧州の法律であっても、日本企業に大きな影響がある。EUに拠点やデータを扱う施設がある企業だけでなく、EUの市民を相手に商品やサービスを販売する域外の企業や個人事業主などにも適用するからだ。
自動運転であれば、誰がどこに行ったのか個人の移動履歴を扱う必要があり、FinTechでは個人の金融データを扱う。IoTでは個人が知らぬ間にデータを取得できる恐れがある。
自動運転車やFinTech、IoTは、欧州を含む世界で技術を展開できなければ市場を開拓できない。現状では日本企業は契約を結ばない限り、日本企業の子会社従業員のデータであっても域外への持ち出しは禁じられている。EUが公式に動き出せば、いつでもデータを止められる。日本は、EUが十分な個人データ保護レベルがある国として“十分性の要件”を満たすと認定されていないからだ。