一般データ保護規則(GDPR)：重荷からチャンスへ

欧州連合（EU）の「一般データ保護規則（General Data Protection Regulation:GDPR）」が貴方の目に留まった理由は、遵守違反の罰金の高額さだった可能性は高いでしょう。あるいは、遵守の期限が近づく切迫感や、データと個人情報の保護をめぐる報道の騒がしさかもしれません。

こうした気の遠くなるような側面に、恐らく最初は戸惑うばかりだったでしょう。しかし、GDPRの多面的な要件への対応にまつわる漠然とした不安が解消すれば、この取り組みならではのビジネスチャンスが見えてくるかもしれません。本稿では、GDPRが持つ意味、GDPRの影響が及ぶ組織、GDPRへの取り組みをビジネスの優位性に結びつける方法を検討します。

GDPRとは何か？

EUは1995年の「欧州データ保護指令」に代わる新しい規則としてGDPRを制定しました。新しいGDPRでは、あらゆる組織に説明責任を課すことにより、個人データ保護に関する側面を大幅に強化しています。具体的には、以前の指令よりも個人データを幅広く定義し、データ保護の中心に個人を据え、執行面を強化し、遵守違反の制裁金を現行の法令に比べ大幅に増額しています。

ここ数年、個人情報保護の領域で見られた数々の進展は、GDPRに関する大げさな報道を大量に生み出してきました。そうした進展の顕著な例の1つは、EUおよび米国間のデータ転送を可能にしているメカニズムである「免責（宥恕）規定」（Safe Harbor）が無効化され、「個人情報の盾」（Privacy Shield）に置き換えられていることです。2018年5月25日の発効期限が迫っていることから、GDPRの遵守に関して焦燥感を強める組織も出始めています。とりわけ、遵守違反の罰金額が最大で2,200万米ドル（1ドル＝112円換算で約25億円弱）またはグローバル年間売上高の4%（のいずれか高額な方）に及ぶ、という点を考えてのことでしょう。

GDPRの影響を受ける組織

決して誤解しないでください。「EU加盟国を本拠地とする組織ではない」というだけで、GDPRの適用外になるわけではありません。この包括的な規則は、EU域内に居住する人物の個人データを処理する全ての組織に対してグローバルに適用されます。例えば、ニューヨークに拠点を置く企業の従業員がドイツで在宅勤務をしている場合や、アイルランド在住の顧客がカリフォルニア州に本社を置く小売企業とオンライン取引する場合などは、GDPRの適用対象となります。

個人データの定義の改訂

GDPRによると、個人データとは「直接的または間接的に個人の識別を可能にするあらゆるデータ」を指しており、個人を識別しうる幅広い要因（例：IPアドレスや位置情報データなど）が、個人データ保護を徹底するための保護対象として扱われるようになりました。これは極めて幅広い定義であり、将来的にはさらに拡張されると予想されています。

GDPRによる規制の主な変更点

個人データの新しい定義は、この新しい規則の全体的な方向性を象徴しています。GDPRの下では、個人データは貴重な資産とみなされており、個人データをめぐる要件と義務が大幅に厳格化されています。

この動きが、クラウド・コンピューティング、ビッグデータ、モノのインターネット（IoT）に象徴される昨今のテクノロジー動向（リンク先の記事は英語）と同時並行で進んでいるのは、決して偶然ではありません。これらの各テクノロジーでは、データ収集とデータ分析を適切に行うための機能が戦略的な差別化要因となりつつあります。この点に気が付けば、EUのGDPRが基本的には、現実に追い付こうとしていることが分かります。

では、個人データの保護に関してこの新法に盛り込まれている、4つの主要な変更点を見ていきましょう。

執行面の強化

新しいGDPRでは、法執行の側面が強化されています。各国のデータ保護監督機関は、人員と権限が増強された上で、統一見解の下で機能する新たな「汎欧州」の組織体を形成することになります。個人情報保護は、ほんの10年前には法規制コンプライアンス課題の中の1項目でしかなく、トップ10に入ることはほとんどありませんでしたが、現在では、あらゆる規模、あらゆる業種の企業にとって最優先のコンプライアンス課題となっています。

説明責任の増大

GDPRは組織に対し、個人データ保護に関する説明責任を課しています。組織には、個人データ保護策の実施の有無、方法、実効性を自ら立証する責任があります。これには、データ侵害／漏洩を防ぐためのセキュリティ手段を配備・運用することや、侵害／漏洩が発生した場合には個人および監督機関への通知を速やかに行うことが含まれます。将来的には、データ保護コンプライアンスを確保する上では、データ処理関連の認定制度から正式な認証を取得することよりも、組織内で適切なビジネスプロセスを確立することの方が重要となるでしょう。GDPRで規定されている「データ保護責任者（data protection officer: DPO）」のように、個人情報保護に関する知識と法令の適用方法を把握している人材を配置することは、十分に元が取れる投資です。

GDPRでは、個人データを処理する業務の内容や規模に応じてDPOを選任することが義務付けられています。また、この人物は、法規制要件に精通しているだけでなく、戦略的な企業資産としてのデータの価値を理解していることも重要です。コンプライアンス対応に限らず、個人データ保護とデータ・ガバナンス全般を必須のビジネス要件として業務体制に組み込む（リンク先の記事は英語）ことも視野に入れ、内部変革に向けた啓発活動も担えるような人物をDPOに任命できれば、さらなる投資対効果が望めます。

プライバシー・バイ・デザイン

GDPRでは、「プライバシー・バイ・デザイン」の概念が「組織内の全ての部門に対し、データとその処理方法を精査することを義務付ける」という形で実装されています。そのため、GDPR対応の最初のステップは、ビジネス全体を網羅するデータフロー・マップの作成です。全ての個人データの所在場所とその正確な利用目的を特定する作業が済んだら、次は、直ちにそれらのデータの安全を確保しなければなりません。製品の開発に始まり、サプライチェーンを通じて顧客に届けるまでの事業活動の全域にわたり、常に個人情報保護の観点からデータを取り扱うことが、この新しい個人情報保護法の核心です。プライバシー・バイ・デザインでは、データとデータ転送に関する透明性を高めることも大前提となります。

「個人ファースト主義」の採用

新しい規則における最大の変更点は、プライバシーに対する姿勢が刷新されたことでしょう。これはコンプライアンス要件の強化とは別次元の変化です。GDPRはデータ保護の中心に個人を据えることで、データに関する個人の権限を強化します。例えば「データ可搬性の権利」では、顧客がサービス・プロバイダーを変更する場合、自分の全てのデータを新しいプロバイダーにシームレスに移すことできる権限が保証されています。さらにGDPRでは、顧客の「忘れられる権利」が当たり前になる時代を見越す形で、消費者としての個人が企業に対して自分の個人情報の完全消去を要求する権利が強化されています。

GDPR対応の取り組みをビジネスの差別化につなげる4つの方法

GDPRがもたらす包括的な変化を一歩引いて眺めると、ルールの厳格化によって遵守の難しさが増すものの、その基本原則は私たちが長年取り組んできた原則と同じであることが分かります。その意味では、多くの組織にとってのGDPR対応は、全てをゼロから構築する取り組みではなく、コンプライアンスの手順の再検討（リンク先の記事は英語）から始まる取り組みと言えます。GDPR対応のために何が必要になるかは組織によって異なりますが、GDPRへの取り組みは、組織の成功に貢献しうる数多くの新たなチャンスをもたらします。

イノベーション

「GDPRをイノベーションの“誘因剤”として活用する」という発想に立てる企業は、GDPRの諸要件から生まれる新たな市場で競合他社よりも前に先手を打つことで、多大な見返りを獲得できる可能性があります。個人データの処理や保管の安全性を顧客に保証するための新しいサービスや製品を開発するケースを考えてみましょう。例えば「パーソナル・データ・ストア」や「個人データ保管庫」といったイニシアチブでは、本人がアプリを用いて個人データの保管やアクセス権限の管理を行えるクラウドサービスを提供できるでしょう。

また、個人情報保護法に違反することなくデータを活用する革新的な方法を考案できる可能性もあります。1つの興味深い例として、小売企業が個人データを収集しなくても顧客を理解できるように支援する「次世代の人間カウンター（計数器）」を提供している企業があります。同社のソリューションは、いわば「スマートフロア」であり、人々の靴底の画像を収集して足取りを分析します。このシステムは、収集した画像を機械学習や人工知能の複数のレイヤーと組み合わせることで、フロアを歩く人々の人数を自動的に計数できます。さらに驚くべきことに、人々の靴や歩行パターンからデモグラフィック・データをインテリジェントに分類することや、店頭ディスプレイに対する人々の反応を判断することさえ可能です。

透明性＝信頼

プライバシーの権利を保護することは、競争優位性につながります。私たちは皆、単なる法規制コンプライアンスで満足している企業よりも、それを超えたレベルでプライバシーを尊重し、データの使用方法についても高い透明性を提供している企業の方を信頼するはずです。GDPRの要件は、個人データの収集・処理方法について顧客に何をどのように説明するかに関する企業ポリシーを見直すための好機となります。こうした透明性を確保することは、顧客の信頼感を深め、顧客ロイヤルティを高めることにつながります。

ドイツのある大手銀行の事例からは、この領域における「望ましくない取り組み」について教訓を学ぶことができます。この銀行は数年前、ターゲティング広告に顧客データを活用することを目指したビッグデータ・プロジェクトの開始を発表しました。プロジェクトに関する顧客への情報提供は適切でしたが、同行は顧客にとっての価値をうまくアピールすることができませんでした。もう1つの欠点は、このプロジェクトに参加したいかどうかを顧客が選択できないことでした。それが裏目に出たことで、否定的なフィードバックと報道が続出した結果、同行はプロジェクトの撤回に追い込まれたのです。

消費者の権利の強化

この新しいデータ保護規則は、消費者の側に主導権を与えています。顧客に心から寄り添う姿勢を示せば、プライバシー尊重の意識が高い組織だと認識してもえるでしょう。

GDPRは消費者の既存の権利を強化することに加え、新たな権利もいくつか導入しています。さらに、個人データの処理に関しては「個人の同意」が主要な法的根拠へと格上げされています。個人データの処理方法に関する個人の権限がこのように強化されることは、企業や組織に対して頭の痛い課題をもたらします。GDPRが個人に保証する先進的な権利の全てが不備なく行使される状態を確保することを目標として、個人情報保護に関するコンプライアンス・プログラムを設計または再構築することは、決して簡単ではありません。

GDPRにより、個人情報保護という概念が原動力となってビジネス文化の変容が進むことになるでしょう。しかし、これは戦略的な課題でもあります。顧客の権利を尊重することは、競争の激しい市場における事業力を強化することでもあるのです。

データの管理・統制方法に関するデータ戦略

個人データ保護は今や、データ戦略を構成する課題の1つとしとして捉えるべきでしょう。GDPRを遵守するためには、頑健なデータ管理およびデータ・ガバナンス・ポリシー(リンク先PDFは英語)を整備する必要があります。GDPRは、個人データだけではなく、組織が取り扱う全てのデータについて、こうしたポリシーを総合的に再評価する好機をもたらします。これは有意義な取り組みであり、影響が広範囲に及ぶ高コストな法規制コンプライアンス・プロジェクトからビジネスメリットを引き出すための最初のステップです。

企業や組織にとってデータは最も重要な資産であり、データ量は常に増大していきます。頑健なポリシーを今すぐ整備することは、GDPRコンプライアンス体制の確立に役立つだけでなく、データから最良の方法で最大の価値を引き出すためにも役立ちます。

単なるGDPRコンプライアンスを超えた成果の追求

GDPR対応の取り組みが重荷ではなくチャンスだと頭を切り替えることは、一朝一夕にはできません。しかし、プロアクティブ（能動的）に取り組むことが賢明です。そうすることで、データに関する今後のEU法制に対する準備も整います（例えば、データのローカライゼーション、コミュニケーションのプライバシーと機密保持、データの所有権などに関する法規制が考えられます）。また、顧客理解に関するニーズと個人情報保護に関するニーズとの間でバランスを図る必要が生じたときに、それを適切に実行できる確率も高まります。組織が保有する全てのデータについて理解を深め、包括的なデータ戦略の策定に着手するには、今が絶好のタイミングです。今から準備を進めれば、確信をもって2018年5月を迎えることができ、その後も前途洋々となるでしょう。

著者紹介

カリオピ・スピリダキ（Kalliopi Spyridaki）は、SAS Europeのチーフ・プライバシー・ストラテジスト。SASへの入社は2007年。現在の役職では、SAS社内とお客様の両方に対し、データ保護と個人情報の問題についてソート・リーダーシップを提供しています。急速に進化している欧州の個人情報環境についてSASとお客様が最新状況を把握できるように、公共政策面、法務面、ビジネス面の考慮事項の間にあるギャップの解消に取り組んでいます。SAS入社前は、広報コンサルタント会社、欧州の業界団体、欧州およびギリシャの法律事務所、欧州委員会、ギリシャ外務省などで、さまざまな役職を歴任。アテネ大学（ギリシャ）で法律学士号を取得し、2003年からアテネ弁護士会に所属。