数百億円の罰金も? GDPRに揺れる日本 来年5月からEUの個人情報の扱いは要注意
「私の個人情報を『完全に』消してください」
顧客や従業員からそんな依頼が来たとして、はたしてどれぐらいの企業が自信を持って対応できるだろうか。今や一つの企業でも、個人のPC、自社サーバ、クラウド等、さまざまなところにデータがある。複数のシステムで重複して保管していることも多く、検索してワンクリックで削除完了というワケにはいかないのが実情だろう。
だが、EU(欧州連合)の一般データ保護規則(General Data Protection Regulation: GDPR)が発効されれば、そのような状態も許されなくなるかもしれない。
2018年5月に発効される見通しとなっているGDPRは、EU域内の個人データの処理と移転に関する法律なのだが、多くの企業担当者を憂うつにさせているのはその適用範囲の広さと罰則の重さだ。
史上最も包括的なプライバシー保護法と称されるこの法律は、EU域内の個人データを厳格に守るのが目的とされる。しかし、対象となるのはEU域内の企業や団体だけではない。世界中のどこの国・地域にあろうとも、EUの消費者に関するデータを保管したり処理したりしている企業・団体はすべて、この法律の対象となる。
罰金額は、最大で2200万米ドル、またはその組織の全世界での年間売上高の4%相当額のどちらか高額なほうになるという。グローバルに活動するトップ企業であれば、罰金が数百億円に及ぶ可能性もある。
EUの法律だからといって、日本企業が対岸の火事のようにのんびり構えていたら、とんでもないことになってしまうのだ。
競争優位に立てる絶好のチャンスにも
現状では、リスク面ばかりにスポットが当たり、GDPRに多くの日本企業が戦々恐々としているが、実はこの状況はチャンスでもある。仮にライバル企業がこの法律に萎縮してビジネスに消極的になるとすれば、競争優位に立つ絶好機だ。
そのためには、まずGDPRのことをよく知ること。そして継続的な対策を講じたうえで自分たちのビジネスに邁進してもらいたい。厳しい法律ではあるが、見方を変えれば、ルールが明確になるだけで、個人情報が使えなくなるわけではないのだ。
データマネジメントのソリューションを提供するSASによれば、企業がGDPRコンプライアンス体制を構築するには、「データアクセス」「特定」「統制」「保護」「監査」という5つのステップが効果的だという。
そのうちの「保護」では、個人情報は匿名加工技術などを使って保護する必要がある。これは、GDPR対策の「守りの一手」にも見えるが、実は「攻めの一手」でもある。というのも、顧客属性を加工することによって匿名化された個人情報は、ビジネスに利活用できるからだ。そのデータを使えばマーケティングの武器にも、新規事業の種にもなるかもしれない。
保持する企業側から個人情報を見ると、「いつリスクが顕在化するかわからない危険なもの」という認識を持つビジネスパーソンも多いが、しっかり対応すればこれ以上ない「宝」になりうるのだ。
前述の、SASの5つのステップの続きは、以下のバナーからダウンロードして確認できる。また、SASが9月に開催して好評だったセミナー資料と、SASの製品カタログも合わせてダウンロード可能だ。まずは、情報収集から始めてほしい。
