0001みつを ★
2018/05/31(木) 03:41:21.51ID:CAP_USER95月29日 13時40分
顧客や従業員の個人データを海外に送ったら、何百億円もの制裁金が…
そんなおそれもある新しい規則が、5月25日、EUで運用が始まりました。個人情報を保護するためのこのルール、欧州で事業を行う日本企業にも適用されるので、決して他人事ではありません。
(経済部記者 江崎 大輔・ブリュッセル支局記者 工藤 祥)
巨額の制裁金GDPR
新しい規則は「General Data Protection Regulation」。頭文字をとって「GDPR」、日本語では「一般データ保護規則」と呼ばれます。
EU各国とノルウェーやアイスランドなど合わせて31か国で、企業や団体が個人データを集めたり、域外に移したりする際の厳格なルールを定めています。
対象となる個人データは、氏名、住所、電話番号、メールアドレスのほか、位置情報やクレジットカード番号など幅広く、注意が必要です。
GDPRの運用開始がおよそ1か月に迫った4月下旬、東京都内で日本企業向けのセミナーが開かれました。対策を急ごうと、およそ150社のシステム担当者などが参加しました。
GDPRでは、企業が顧客や従業員などの個人データを集める際に、使用目的などを通知するか、同意を得ることが義務づけられています。さらに、個人データを域外に移す場合にも厳密なルールがあります。
例えば、フランスで日本企業の現地法人が取引先の名刺をもらい、そこに書かれたメールアドレスなどの個人データを日本の本社に送ったとします。この場合、本人の同意か、現地と本社の間でデータ移転についての特別な契約が必要です。
ルールはかなり複雑ですが、これを怠ってアドレスなどを日本に送れば、違反とみなされるおそれがあります。違反した場合には、巨額の制裁金が科されるおそれがあります。最大で、グループ全体の売り上げの4%、または、2000万ユーロ=およそ26億円のどちらか高いほうと定められています。
セミナーに参加した企業からは、戸惑いの声が聞かれました。大手旅行会社の担当者は「日本を訪れる外国人が増え、個人データを取り扱う件数も多いので緊張感を持っている。法律もガイドラインもすべて英語であることにも難しさがある」と話していました。IT会社の担当者は「制裁金の額が非常に大きい。他社の準備を学んで体制を作っていきたい」と話していました。
どうする海外の社員教育
この規則は、EUと日本での個人データのやり取りだけでなく、EUと別の海外支社との間でも違反がないよう、目を光らせる必要があります。
国内最大手のガラスメーカーである旭硝子は、グループ全体の210社のうち、EU域内には93社あり、従業員はおよそ1万7000人に上ります。この会社では、顧客企業だけでなく、現地で働く従業員のデータも世界中にあるグループ会社にさまざまなルートでやり取りされています。
このため、グループ会社の間では、本人の同意をとらなくても個人データを移転できる特別な契約を結ぶなどの対策を進めています。
旭硝子の売り上げ規模では、もし違反があれば、制裁金の額は最大で600億円近くに上る計算になります。日本の本社では、去年のうちから、コンサルタントの助言を受けながら対策を進めてきましたが、万全を期すことは容易ではありません
悩みの1つが、海外のグループ企業も含めた社員教育です。4月下旬、コンサルタントと行った打ち合わせでは、海外の社員にGDPRの対応策をどう浸透させればよいか、検討を重ねていました。
コンサルタントは、ルールが複雑なことを踏まえて、個人データを管理する責任者は、ルールを細部まで熟知する必要がある一方、一般の社員には、注意が必要な具体的なケースを中心に実践的な教育をすることが重要だとアドバイスしていました。
旭硝子の伊藤肇情報システム部長は「従業員一人一人にルールが変わったことと、情報の取り扱いの大事さを認識してもらうところから始めなければならない。意図することなく、規則に違反してしまうリスクを最小限に抑えていきたい」と話していました。
旭硝子にアドバイスをしているPwCコンサルティング合同会社の山本直樹パートナーは「海外のさまざまな拠点でEUの個人データを扱う機会があり、個人データを移転するルートが複雑になるのが難しいところで、社内の教育が重要だ」と指摘しています。
(リンク先に続きあり)