欧州一般データ保護規則「GDPR」 規制の背景にある欧州の思想

欧州一般データ保護規則（GDPR）が2018年5月に施行され、高額な制裁金などが国内の注目を集めた。GDPRは、欧州における20年以上にわたる個人の権利保護に関する議論の結果だ。国内企業においては、GDPR対応を検討するのはもちろん、情報漏洩対策も重要になる。

アンドリュー・アレクサンダー・アダムス（明治大学ビジネス情報倫理研究所副所長、同大学非常勤講師）

2018年5月25日に施行された、欧州一般データ保護規則（GDPR）。広い適用範囲や高額の制裁金に注目が集まっているが、GDPRに適切に対応するためには、制定の背景にある理念を知っておく必要がある。情報セキュリティの研究者で、GDPRの検討状況を見てきた明治大学ビジネス倫理研究所副所長のアンドリュー・アレクサンダー・アダムス氏に話を聞いた。

EEA域内の統一規制

GDPRは、「個人データ」（定義の詳細は後述）の処理と、欧州経済領域（EEA、EU加盟国にノルウェー、リヒテンシュタイン、アイスランドを加えた31カ国）からその域外に個人データを移転する際の法的なルールを規定している。国内事業者が、GDPRへの対応を考える必要があるかのチェックシートを下にまとめた。

図1　欧州一般データ規制（GDPR）対策の要否チェックシート

GDPRへの対応は、自社のビジネスに必要な情報のみを個人から受け取る場合にはそれほど難しいものではない。ただし、特に必要ないデータを大量に集める、個人データを売買するといった場合には、GDPRの規制に従う社内体制の整備などが必要になる。

図2　GDPRの下ではデータの2次利用の有無が対応の分かれ目

どうしてこのような仕組みになっているのか。その背景には、インターネットの一般化と、SNSの台頭がある。GDPRのもとになったのは、1995年に作られたEUデータ保護指令（DPD）。　1990年代には、個人と、その個人のデータを扱う企業はほぼ1対1の関係にあった。例えば、求職者が履歴書を企業に提出する場合などだ。

しかし現在は、インターネットで暇つぶしをするだけで、位置情報からサイトの閲覧履歴、いいね！の傾向まで、様々な情報が数多くの企業に送られる。GDPRは「個人に決定権を持たせる」というDPDの基本理念を受け継いでいるものの、適用範囲は拡大し、個人の権利を強化し、さらに制裁とその執行を厳格化している。