個人データ保護の「黒船」到来

投稿者:nakajima 投稿日時:月, 2018-06-04 12:13

 日本の個人情報保護体制はどこまで厳格か?
 特にマイナンバー制度がスタートしてからは日本の保護制度は厳格だと思っている人は少なくない。たしかに、企業内で取り扱い担当者を特別に指定してそれ以外の人は扱えない、マイナンバー保管場所を厳しく管理する、など厳格な仕組み作りが義務となったので、「厳しい」という思いはなっているだろう。
しかし、日本個人情報管理協会(JAPiCO)のメールニュースで毎週紹介されている事例を見ると、個人情報に関するトラブルが1週間で20、30を下らない多数の件数があるにも関わらず、刑事罰や罰金を課せられた、という話は聞かれない。
時折、大量に個人情報を流出させた、と経営トップが謝罪の記者会見を開くことがあるが、行政罰ではなく、データを流出させた被害者(ユーザー)へのお詫びや「損害補償」の発表の会見である。法律も個人情報流出事故を起こした企業に2重、3重の警告を発するが、罰則には慎重である。
ところが、そこへ欧州から「黒船」である。
個人情報の厳格な保護を要求する欧州連合の「一般データ保護規則(GDPR)」が5月25日に施行された。欧州での個人データの収集や管理、その域外への移転に対して厳しい条件が課せられている。個人データは事業を行う際の消費者・顧客や従業員のデータが対象になる。何が個人データに当たるか、欧州で事業を行う日本の企業の間では急ぎ、洗い直しが行われている。また、個人情報流出などのトラブルがあれば72時間以内に欧州連合の当局に届け出なければならない。その体制作りも課題である。こうした対応策には数千万円以上の経費がかかると見られている。
事情は米国企業でも同じだが、個人データを収集、利用によってサービスを展開することで成長してきた米国IT企業では、すでに対応は難しいとみて欧州市場から撤退する動きも目立ち始めている。
欧州市場から撤退する動きの理由には、違反した際の制裁の厳しさの問題もある。違反に対しては、最大で2000万ユーロ(約25億6000万円)もしくは世界(欧州だけでなく)の年間売上高の4%に上る罰金が制裁金として課せられる可能性がある。
欧州の新規則に対応するには、日本の保護法に対応するだけでは十分ではない。ユダヤ人の迫害をはじめとして、いろいろな民族の差別、迫害、対立する宗教への迫害などの過酷な歴史を経験した欧州では、とりわけ個人データの保護には鋭く神経を尖らす。その延長線上で人権、プライバシー保護に対しては厳しい対応をする。日本の常識の感覚では理解できないレベルである。
 ただ、高度に情報の行き交うデジタル社会では、この欧州の厳しさが合理的なのかもしれない。欧州から来た個人データ保護の「黒船」襲来を機会にもう一度、個人データ取扱の仕組みを見直してみたい。