GDPR（一般データ保護規則）とは？GDPRに備えるためのIT研修をご紹介！

世界中が激震！GDPRの脅威

ここではいま世界で大きく注目されているGDPRの脅威について、その対象、適用範囲、制裁金の金額などとともにご紹介します。

GDPRとは？

GDPR（General Data Protection Regulation）とは2018年5月25日から施行された「EU一般データ保護規則」であり、EU域内の「個人データ」の取り扱いを規制して保護するための法律です。
GDPRは173条の前文と99条の本文からなる大きな法律ですが、その目的は端的に言えば、データの持ち主（データ主体）の「個人データ」がどう扱われるかについてのコントロールを最大限個人に保証するということです。そのために政府や企業が「個人データ」を扱う際の規則を定めているのです。（2018年10月現在）

ここでいう「個人データ」とはEEA（EU加盟国にアイスランド、ノルウェー、リヒテンシュタインの3ヵ国を加えた31ヶ国で構成される"欧州経済領域"）域内に所在する個人に関係するあらゆる情報を意味します。また、この際の「個人」とは居住地や国籍に関係ないため、単なる旅行者のデータまでも「個人データ」に含まれてしまいます。

GDPRはその適用範囲の広さでも大きな注目を集めています。この法律は個人データを扱う企業の事業規模の大小や本社の所在地に関係なく適用されます。したがって、たとえ日本国内（EEA域外）にしか拠点を持たない小規模な企業でさえも、EEA域内の個人データを扱う場合はGDPRを遵守しなければいけないのです。つまり欧州で事業を展開するほぼすべての組織がこの法律の対象ということになります。
世界中のユーザーから個人データを収集し、サービスに活用してきたGoogle社やFacebook社といった大手IT企業への影響ばかりでなく、日本企業への脅威についても考えなければいけないのです。

さらにGDPRが世界を震撼させているのが違反者に課せられる巨額な制裁金です。最悪の場合、該当企業の世界売上高の4％または2000万ユーロ（およそ26億円）のうち高い方を払うという極めて厳しい制裁がなされます。

GDPRで保護の対象となる「個人データ」とは？

　GDPRの条文において「個人データ」とは「自然人を特定した、あるいは特定可能なあらゆる情報」と定義されており、名前や位置情報だけでなくIPアドレス、クッキー、名刺データ、さらには生理的、心理的、文化的、経済的、社会的地位に関するあらゆる要素が「個人データ」として扱われます。
例えば、ユーザーがWebサイトにアクセスした際にログとして記録されるIPアドレスやアクセスした時刻といった情報は、個人を特定しうる情報だとは思えないという認識がある方も一定数いらっしゃいます。しかし実際にはIP"アドレス"はインターネット上の住所ともいえるものであり、他のデータやログを参照することで簡単に個人を特定できてしまいます。
また「個人」とはEEA域内で生まれ育ち国籍を持つ一般消費者だけを指すのではなく、域内に所在する人であれば従業員をはじめ、観光、転勤などで一時的に訪れている人々すべてを含むことに注意しなければなりません。

そのため国内外のユーザー向けにWebサービスを提供し、IPアドレスやクッキー(過去のユーザーの行動に合わせてブラウザからデバイスに送られてくるデータ)を扱う日本企業もGDPR対策をしなければ制裁の対象になってしまいます。
このようにGDPRはEEA域内すべての個人を特定しうるどんなに些細な情報までも「個人データ」としてその処理と移転を規制する法律なのです。

あなたの会社は大丈夫？GDPRの適用範囲とは？　

基本的にはEEA域内拠点の経由の有無に関わらず、EEA域内の「個人データ」が域内で収集・処理されたり域外に移転されたりする場合は、すべてGDPRが適用されます。

域内の拠点が現地の個人データを収集する場合はもちろん、域外の本社が域内の消費者や従業員から直接、または域内拠点を経由して「個人データ」を移転する場合もGDPR適用の範囲内となってしまうのです。このように、EEA域外の本社にGDPRが適用される場合を特に「域外適用」といいます。

域外適用を免れるには

それではGDPRの「域外適用」を免れてEEA域内の「個人データ」を域外に移転させる方法はないのでしょうか。以下にEEA域外に「個人データ」を移転させるための主な方法を大きく分けて3つご紹介します。

1つ目は「個人データ」移転に関して本人（データ主体）の「明示的な同意」がある場合です。ただし本人（データ主体）はこの同意をいつでも取り消すことができます。

2つ目は企業の所在国が欧州委員会から「個人データ」に関する十分な保護措置を講じているとして「十分性認定」を受けている場合です。これまで、「十分性認定」を受けているのはカナダやスイスなど11ヵ国のみでしたが、2018年9月からEUは日本も十分性認定を出す手続きに入っています。

3つ目は企業が「契約」を締結することによってデータ移転を特別に許可される場合です。この「契約」としては主に自社グループ内でデータ保護のルールを整備するBCR（拘束的企業準則）と、データ移転元と移転先との間で個別の契約を結ぶSCC（標準契約条項）の二つがあります。 BCR（拘束的企業準則）は一度ルールを整備して国の監督機関の承認を受ければ、企業群内で自由にデータ移転ができるというメリットがあります。しかしBCRは承認を受けるまでに2年ほどかかることもあり、申請に要する手間も多いため、GDPRに早急に対応するには不向きであるのが現実です。 一方、SCC（標準契約条項）はデータ移転元と移転先との一対一の契約であるため、わずか数か月で承認を得ることができ、テンプレートを活用すれば容易に契約を締結することができます。「十分性認定」を受けていない日本の企業にとっては、このSCCがデータ移転の際に有効です。

GDPRの巨額な制裁金！　

　GDPRに違反した組織に課される高額な制裁金は世界中の企業を驚愕させました。
「未成年者の同意に関して保護責任者の承認を得なかった場合」や「個人データ侵害の報告義務を怠った場合」などには最高で「1000万ユーロ（13億円）または全世界年間売上高の2％のいずれか高い方の金額」が制裁金として課されます。
「個人データ保護の原則に違反した場合」や「EEA域外に個人データを移転する際の義務に違反した場合」には最高で「2000万ユーロ（26億円）または全世界年間売上高の4％のいずれか高い方の金額」が制裁金として課されます。
一般的な中小企業にとってはあまりに高額な制裁金であるため、国内でもGDPR対策が急がれています。

GDPRが生まれた背景とは？

欧州の個人のプライバシー保護に関する考え方は、戦後1950年に制定された「欧州人権条約」が土台となっています。この条約によって国家による国民へのプライバシー干渉が禁止されたのです。
「欧州人権条約」を基にヨーロッパ諸国では、通信技術の高度化に合わせて、個人データ保護のための法律が次々と制定されました。

1993年にEUが誕生した後は、2000年に制定された「EU基本権憲章」が2009年の「リスボン条約」によって拘束力を持ち、最高法規となりました。この「EU基本権憲章」は「欧州人権条約」の基本的な考え方を引き継いでおり、個人データ保護についても定めています。具体的には、個人が自らの個人データを修正できることや、個人データは公正に処理されなければいけないことなどが定められました。

従来の各国ごとの個人データ保護の法律にはばらつきがあり、個人データ保護を優先すると域内のデータの自由なやり取りを阻害してしまうというジレンマがありました。そのジレンマを解決するために様々な方策がとられ、最終形として「EU基本権憲章」に続く形でGDPRが誕生したのです。
GDPRは、EUにおいて個人のプライバシー保護を保障しつつ、EUという一つの市場の中で情報を自由にやり取りし経済活動を活発にすることを目指した法律なのです。

今すぐできるGDPR対策をご紹介！

それでは日本企業はGDPRに対してどのような対策が立てられるのでしょうか。
ここからはGDPRの脅威に備えるために社内で行うことができる対策方法をいくつかご紹介します。

まずチェックすべきポイントは？

GDPR対策を始めるにあたって第一に優先しなければいけないことは、顧客や従業員などEEA域内に所在する個人の「個人データ」をすべて洗い出して可視化することです。
中でも「データ主体」である顧客の「個人データ」に関する業務は最優先で明らかにして対策を講じる必要があります。「個人データ」を扱うすべてのプロセスを明らかにすることで、具体的にどこからGDPR対策に着手していくか計画が立てやすくなります。

また、GDPRの制裁を避けるためにはプライバシーポリシーを更新することも重要です。EEAの監督機関はGDPR違反の疑いがある企業のWebサイトのプライバシーポリシーを確認しています。どのような目的でどのような「個人データ」を収集・使用するのかを分かりやすい形でユーザーに提示することが制裁を避ける上で欠かせないポイントです。

さらにEEA域内の「個人データ」を域外に移転する企業に関してはSCC（標準契約条項）の締結が必要になります。日本のサーバーを通してEEA域内でデータをやり取りするような場合でも「域外適用」されるので注意しましょう。

GDPR対策にはIT研修がおすすめ！「インターネット・アカデミー」とは？

GDPRのような新しい法規制に対応し、ビジネスを行うには最先端の技術・動向に対応できるスキルを持ったIT人材が必要不可欠です。

世界中のIT事情や法制の動向を把握しデータ処理に関して正しい判断を下すことができる、ITリテラシーを持った人材が欠かせません。

また、特にGDPRで保護の対象とされる「個人データ」が社外に流出することは何としても避けなければいけません。データ暗号化などをはじめとしたサイバーセキュリティ対策を向上させることでデータの漏洩を防止しましょう。

社外からの採用が難しい場合、社内でこうした人材を効率的に育成する方法としておすすめなのが専門教育機関によるIT研修です。
インターネット・アカデミーはシステム開発案件を扱うWeb制作会社を母体とするIT専門スクールです。母体のWeb制作会社「IBJ」は「気象庁」「東京藝術大学」「京都大学iPS細胞研究所」など日本有数の実績を持ち、開発現場で培われたノウハウやスキルをカリキュラムに還元しています。さらに開発現場で活躍し、ITを熟知したインストラクター陣も充実しています。

ITに関する最新の技術が身につくという点もインターネット・アカデミーの特徴です。インターネット・アカデミーはWebサイト制作に必要なルールの標準化を行っている世界最高位の団体、W3C（World Wide Web Consortium）に日本の教育業界で唯一加盟しています。そのため、正確なITスキルの情報をどこよりも早く受講生に提供することができます。

また、世界のITトレンドの最先端都市ニューヨーク・ボストン、インドIT産業の中心地バンガロールに支店とラボを構えるインターネット・アカデミーは、グローバル企業が求める技術をカリキュラムに反映しています。世界中の人々に認められるグローバルスキルを身に着けられるのはインターネット・アカデミーならではです。

インターネット・アカデミーの法人向けの新入社員研修・既存社員研修では、IT未経験の社員であっても短期間で即戦力となる人材に育てるべく、講師が一人一人の研修者を監督・サポートします。
カリキュラムやスケジュールは柔軟にカスタマイズして提供しているため、法人ごとのニーズに合わせて研修が可能です。

おわりに

今回ご紹介したGDPRは「個人データ」保護のための新たな世界標準であり、日本に住む私達も欧州のプライバシー保護に関する考え方をしっかりと理解しておかなくてはいけません。GDPRは多くの条文からなる大変大きな法律ですが、根本の考え方を理解してしまえば必要以上に恐れる必要はありません。
GDPRを正しく理解してその企業、組織に合った対策を取りましょう。

昨今では今回ご紹介したGDPRなどグローバルなITの動向に対応するためのIT研修を専門のスクールに委託したいという企業担当者の方や、個人でITスキルを身に着けたいという方が増えています。
IT・Web専門スクールであるインターネット・アカデミーではITに関する様々な知識やノウハウを提供していますので、ご興味のある方はスクールの無料体験レッスン・カウンセリングにご参加ください。

また、インターネット・アカデミーではITの最新技術をビジネスに導入するノウハウを伝えるITコンサルティングも行っております。自社でのIT人材教育を検討されているご担当者様に対しては、講座内容からスケジュールまで、ご要望に合わせて研修内容をカスタマイズしてご提案することが可能ですので、お気軽にお問い合わせください。