【感想・ネタバレ】GDPRガイドブックのレビュー

足立照嘉 / ヘルマン・グンプ

「GDPR(一般データ保護規則)」とは、ＥＵが2016年に制定したプライバシー保護の法律で、２年間の周知期間を経て2018年5月25日に施行される。欧州に拠点のない日本企業などに対しても、制裁金を科すなど厳しい規則が適用される。たとえば、日本企業のウェブサイトをＥＵ域内の利用者が閲覧し、その個人情報が適切に取り扱われていない場合には、全世界での年間売上高の４％もしくは2000万ユーロ（約25億円）のいずれか高い方が、制裁金として科せられる恐れがある。経営者をターゲットに書かれた本書は、GDPRの基本から、企業経営に与えるインパクト、ノウハウ、対応の進め方までを具体的に示し、これから企業価値を高めていくには、プライバシー対策、サイバーセキュリティ対策が絶対不可欠であることを解説する。

[ブクログ · ★★★★☆]

GDPR (General Data Protection Regulation)が2018年5月にヨーロッパで施行された。本書はもしかしたらこれは大変なことになるのではと注目を集めるGDPRについて解説したものだ。

「Regulation」とはEUの法制度の中では、「Opinion」、「Decision」、「Recommendation」、「Directive」よりも強いものであり、EU加盟国の国内法によらず適用されるものである。GDPRの内容が正確に理解されていないこともあるが、個人データの厳密な取り扱いを定めて、EU加盟国内に従業員や顧客がいれば例外あるが対象になり、制裁金による罰則も厳しく、日本企業は脅威として認識されていることも多い。また、データ保護責任者(DPO)を任命することが必要とされていたり、運用についても必要なことが規定されている。しかし、著者はこれを機会と捉えるべきだと言う。GDPRの基準に沿うことが、その企業の個人情報保護対策のレベルを示すことになり、競争力を得ることができるというわけだ。

GDPRでは、個人情報は個人に属するということが原則になる。具体的には、同意した以外のデータ処理を制限する権利と、データの消去を要求する権利、いわゆる忘れられる検権利、が個人には付与されることになる。データポータビリティについても法律の上でも可能となる。また、個人情報の漏洩が発生した場合には、直ちに報告をする義務を負う。データポータビリティを含めていわゆるGAFA対策とも言われることが多いのだが、個人情報の利用は企業ではなく個人がその権利を有することを明確化したことは意義がある。今後、他国でも広がる可能性があると言う。

域外へのデータ移転は、EUが安全と認定した国に限られる。この本執筆時点では日本がその候補に入っていなかったが、2018年9月には日本もこの十分性認定を取得する方向で進められていることが報道されている。

しっかりと理解をしなくてはならないものと改めて理解した。

[ブクログ · ★★★★☆]

単なるGDPRの解説書というよりは、具体的にEU加盟国で取り組んでいる対策事例を散りばめた「実践本」と言えます。

現時点では日本がGDPRの十分性認定に採択されるかどうかは定かではありません。仮に十分性が採択されたとしても、GPDRが規定する規則をガイドラインとして遵守することで、個人情報の活用においてアドバンテージが得られることには変わりないと思います。

本書にもありますが、GDPRにおける重要なキーワードは「技術的および組織的対応」です。これは、「セキュリティ対策」と「ガバナンスおよび教育」のことに他なりません。

データ社会の中でデータ主体の権利を保護しつつ、個人情報をビジネス競争力の源泉に転換するためにも、適切なデータ保護対策とガバナンスの強化が必要です。

[ブクログ · ★★★☆☆]

　字も大きいし、企業にとって重要な点に絞って書かれているので、GDPRの概要をざっと頭に入れる入門書としてはいいと思う。

[ブクログ · ★★★☆☆]

もともとはEUデータ保護指令であったものが、2018/5/25にRegulationとして格上げされて施行されたGDPRの概要について説明する本。顧客や投資家は個人データを雑に扱うような企業を選ばなくなるため、GDPRの施行は１０年に一度訪れるかどうかのオポチュニティとなり得ると冒頭から説明されており、新たな視点を得られた。GDPRは個人データの処理と移転に関する規則である。GDPRに違反しないようにするにはまずデータマッピングを行うことが有効である。これによりどこにEEA在住者の個人データがあって、対策を講じていくべきなのか理解できる。また本来的には設計段階からセキュリティやコンプライアンスを考慮した業務・システム設計を行うことが重要である。これにより違反の確率を最小限に抑えることができる。GDPRが施行されてから日本企業として特に大きな問題は発生していないようであるが、今後のためにも本書に記載されている内容程度は理解しておくとともに、日本が十分性認定を受け比較的移転をやりやすくなることを願う。