検索
個人情報保護で先頭を走るEU
2018年、EUは従来の「EUデータ保護指令」からさらに強い拘束力をもつ「一般データ保護規則」を新たに定めて施行しました。
ここで重要なのは、保護されるべき個人データが「氏名、識別番号、位置データ、オンライン識別子、またはその個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つもしくは複数の要素を参照することによって、直接または間接的に識別され得るもの」と非常に広く定義されたことです。
したがって、クッキーやIPアドレスなどのオンライン識別子、さらに位置データなども個人データに該当することになりました。
しかもこのGDPRは、EU圏内に拠点をおく組織に加え、EUと取引のあるすべての組織を対象として適用されることになっています。
EU圏内に子会社や支店、営業所などをおいている企業、EU圏内に向けて商品やサービスを提供している企業、EU圏内から個人データの処理について委託を受けている企業などがすべて対象となります。つまり、EUとの間で事業をしているすべての日本企業が対象となるといっても過言ではありません。
GDPRの非常に幅の広い個人情報の定義は、日本ではまだ採用されていません。
日本では最も新しい2021年の改正個人情報保護法でも、クッキーやIPアドレスはそれ自体では特定の個人を識別することができないことから、個人情報には該当しないとしているのです。
ただし、ほかの情報と容易に照合することができ、それにより特定の個人を識別することができる場合には個人情報に該当するという考え方が採られていますが、EUよりは緩い規定になっています。
2020年12月15日付の日本経済新聞の朝刊では「ネットの閲覧履歴がわかるクッキー情報の利用を巡り、消費者からの同意を取り付ける画面を自社サイト上で表示している日本の大企業は5%弱にとどまることが分かった。英国を中心とする欧州企業は8割強、米企業は3割弱で、日本企業の個人情報保護への取り組みの遅れが浮き彫りになった」と報じられました。
この数字はクッキーの情報自体を個人情報ではないとする日本の事情を反映しています。
しかし、今後はEUレベルがグローバルスタンダードになっていく可能性は高く、EU圏との取引の有無にかかわらず、この範囲まで個人情報をとらえる必要がでてくるのです。そのときになって慌てずにすむように、先手を取って準備しておくことが必要です。実際、日本でも先見の明のある企業は取り組みを開始しています。
杉原 杏璃 氏登壇!
「THE GOLD ONLINE フェス 2025 @東京国際フォーラム」
(入場無料)今すぐ申し込む>>
