平成30年11月20日
「GDPRセミナー ~執行機関とビジネス実務の観点から~」開催(結果概要)

個人データの安全な活用へ改革を

開催概要

会場内風景
当日の会場内の様子

欧州連合(EU)は5月GDPR(一般データ保護規則)を適用開始。EU向けにビジネスを展開する場合など、日本企業にも一定の影響が及ぶ。11月20日に個人情報保護委員会が都内で開催した「GDPRセミナー~執行機関とビジネス実務の観点から~」では、EUのデータ保護機関をはじめ有識者がGDPRの最新動向を解説した。

当日のプログラム

  • 来賓挨拶
    駐日EU代表部代表
    駐日EU大使(講演当時、次期駐日EU大使)
    パトリシア・フロア 氏
  • 特別講演1
    「GDPR適用開始から約半年を経て」
    フランス 情報処理と自由に関する国家委員会(CNIL)委員長
    イザベル・ファルク=ピエロタン 氏
  • 特別講演2
    「GDPR適用開始によるビジネスへの影響」
    ブリュッセル自由大学
    クリストファー・クーナー 氏
  • パネルディスカッション
    「グローバルビジネスにおけるGDPRへの対応」
    欧州経営者連盟(BUSINESSEUROPE)
    パトリック・グラント 氏
    公共政策部長
    ジョン・ミラー 氏
    経団連国際戦略作業部会 主査
    京都大学大学院 客員教授
    横澤 誠 氏
    Centre for Information Policy leadership代表
    ボヤナ・ベラミー 氏
    個人情報保護委員会 専門委員
    新保 史生(モデレータ)

■来賓挨拶

パトリシア・フロア氏

駐日EU代表部代表
 駐日EU大使(講演当時、次期駐日EU大使)

パトリシア・フロア 氏

高度な情報保護日欧協力で実現

(以下発言概要)
 今年7月、日本とEUは戦略的パートナーシップ協定と経済連携協定を締結した。日欧間で構築される相互の円滑な個人データ移転を図る枠組みにより、個人情報が高レベルに保護された世界最大の貿易圏が生まれるはずだ。自由貿易とデータの自由な流通は今後グローバルに連動して発展する。日本もEUも、データ保護を障壁ではなく、ビジネスチャンスとして捉えている。確固たるデータ保護は企業に対する信頼の礎となり、競争優位につながるからだ。また日欧はともに、個人情報が保護されることを基本的な権利と捉えている。
 GDPRは、強力な保護措置と実行可能な権利を盛り込んでいる。GDPRの適用開始は、企業にとっては新しいルールを守るため、各社でデータを取り扱う仕組みを再考、再整備する機会となった。また、プライバシー保護に向けた独自のサービスを盛り込んだ市場が拡大した。その恩恵は消費者個人にももたらされると同時に、消費者はデータの保護の重要性を認知し、自身を対象とするデータをコントロールできるよう求めはじめている。プライバシー保護について日欧相互に協力の機運を高め、グローバルなデータ保護基準を高レベルに収束していきたい。

▴ページトップに戻る
■特別講演1
GDPR適用開始から約半年を経て
イザベル・ファルク=ピエロタン氏

フランス情報処理と自由に関する
 国家委員会(CNIL)委員長

イザベル・ファルク=ピエロタン 氏

国際世論主導し個人の権利守る

(以下発言概要)
 情報技術の急速な進展に伴い、国境を越えた多様なサービスの開発が容易になった。我々の生活は、「デジタルライフ」ともいうべき側面の比重が飛躍的に大きくなってきている。その中心には個人情報が大きな比重を占めており、人々は多くの利点を得ている半面、データ保護に対する強い危機感も抱きつつある。
 こうした民意を無視した形でデジタル社会が構築されれば、生活に多大な影響を及ぼす課題に関して市民個人の決定権が損なわれる危惧がある。フランスで実施された世論調査によれば、国民の66%は個人情報の取扱いに関して以前よりも関心が高まっているとの結果が得られた。ここで問われているのは個人情報の利用権の所在だといえよう。
 GDPRは個人の権利を守るために登場した仕組みで、広く各国・各地域の制度の長所を取り入れて構築されており、4つの強固な特徴が備わっている。
 1つ目は、個人のためにオンラインサービスとして利用しやすいこと。例えば苦情を伝え、それがきちんと受理される機能を持つ。2つ目は、企業のためにビジネスの開拓を可能にするとともに、ビジネスを守る機能。例えば、情報漏れがあれば即時に感知し、速やかに対応することを求める。3つ目はデータ保護当局のためにヨーロッパ全体でデータ保護体制を統合していること。グローバルに行動する企業を相手に制度の取り締まりの強化を図っている。4つ目は国際的な観点を持つこと。デジタル経済が全世界的に発展しているのはいうまでもないが、EUで事業を展開する以上、EUの法令を順守してもらう必要がある。EUで活躍するあらゆる企業にルールを公平に適用する。そして、EU域外で取り扱われるデータに関しても、同様に規定に従って保護していく。GDPRは発展途上段階にあり、これから各国の制度と調整しつつ磨き上げていく考えだ。
 日仏・日欧間には、プライバシー保護の面で多くの共通点がある。国際的な議論のなかで共にリーダー的役割を発揮し、解決策を見いだしていきたい。

▴ページトップに戻る

■特別講演2 GDPR適用開始によるビジネスへの影響

クリストファー・クーナー氏

ブリュッセル自由大学教授

クリストファー・クーナー 氏

GDPR対応を経営優先事項に

(以下発言概要)
 企業にとってデータ保護はただ法令順守という「守り」だけでなく、顧客や提携先などの信頼を獲得するという「攻め」の意味合いも大いにある。データ保護法の順守は全世界の企業にとって事業の成否の大きな要因になっている。各国がデータ保護規制を試行錯誤しているなか、GDPRは最も有効な制度として事実上の標準になりつつあるといえよう。GDPRには5つの論点がある。

  1. 一、日本の企業への適用。欧州子会社などがEUで個人情報を取り扱う場合は当然適用されるが、EUに拠点を置かなくても日本からEUの顧客を対象に通信販売を行ったり、EU域内の消費者行動を分析したりする場合も、GDPRの規定が適用される。
  2. 二、企業の主な義務。個人情報を取り扱うに当たり、本人の同意を得ることや正当な利益等に基づくこと。データ処理を行う前にその目的を確認すること、処理の目的を果たし次第データを削除すること、情報漏洩の防止策を設けること、EUの域外へデータ移転をする場合、その法的な根拠を確定することなどだ。
  3. 三、企業に対しての個人の権利。自分の情報がどう取り扱われているか確認でき、誤った記載を修正、削除する権利を確保し、データを他の管理者または自分に転送してもらうことなどがある。
  4. 四、データ漏洩についての企業の対応。個人情報の盗難、改ざん、消失などが発生した場合、処理者なら管理者に、管理者なら72時間以内にデータ保護機関に通報する義務がある。さらにリスクの高い事案であれば、管理者は情報対象の本人たちにも通報しなければならない。
  5. 五、EUから日本へのデータの移転は法的な根拠が条件となり、「根拠」の一因として、データ保護体制などで判断される移転先としての十分性が条件となる。日本の十分性については、欧州委員会が近々承認する見込みで(11月20日時点)日本へのデータ移転は原則として自由になるはずだ。

GDPRについて、日本企業はパニックになる必要はない。理解を深め、経営の優先事項として対処することでチャンスが到来すると捉えるべきだ。

▴ページトップに戻る▸次のページへ