週刊ダイヤモンド編集部
GDPRとは、EU加盟国に欧州3カ国を加えたEEA(欧州経済領域)域内31カ国に所在する全ての個人データの厳格な保護を目的としたもので、IPアドレスなどインターネット上の情報をも含めて「個人情報」とし、その処理(収集や保管)に厳格なルールと、違反者への高額な制裁金を定めている。例えば、個人データのEEA“域外”への持ち出しは原則禁止。GDPR違反には、最高で世界売上高の4%か2000万ユーロ(約26億円)のいずれか高い方の制裁金が科せられる。
問題は、GDPRがその事業規模や本社が所在する国・地域を問わず、EEA域内の個人情報を処理するほぼ全ての組織にも「域外適用」される点だ。つまり、本誌6月2日号の特集「GDPRの脅威」で報じたように、EEA域内の個人情報を扱う日本企業も対象となる。
それ故、GoogleやFacebookなど米国のIT企業が施行当日にプライバシー保護団体に提訴され、片や米紙「ロサンゼルス・タイムズ」や「シカゴ・トリビューン」など一部のEEA域外サイトが、GDPR対策が終わっていないことを理由にEEA域内からのアクセスを遮断するといった、混乱が生じたのだ。
今回のケースをGDPRに照らし合わせると、ホテルは個人情報の「管理者」、ファストブッキング社は個人情報の処理を外部委託された「処理者」という立場として位置付けられる。GDPRに詳しいバード・アンド・バード法律事務所パートナーの杉本武重弁護士は「一般論として、欧州の処理者から管理者が個人情報を受け取っているとすれば、域外適用になる可能性が高い」と指摘する。
注意したいのは、GDPRはデータ侵害の発覚をもって即、制裁金を科すという類いの法律ではないことだ。監督機関がより重視するのは、GDPR対策への姿勢で、取り扱う個人情報の中身や個々の企業の事情に見合ったセキュリティー対策をしっかりとその組織が行っていたのかといった、取り組みのプロセスだ。
小島よしお
しいたけ.
ジェーン・スー
