理事長コーナー
先号   次号

個人情報の保護 GDPRの動向

PMAJ理事長 光藤 昭男 [プロフィール] :6月号
 一般データ保護規則(GDPR : General Data Protection Regulation)は、EU加盟諸国の28ヵ国に3ヵ国を加えたEEA(欧州経済領域)31ヵ国にて、2018年5月25日に施行された。昨年の後半からマスコミでも時々報じられてきたが、施行間近のこの春先より関連記事が増えていた。今や、この施行された国々では、全住人の個人データの取得から廃棄までのライフサイクル全般に渡って情報の保護義務が生じる。無防備な状態では勝手に個人情報を扱えなくなった。すなわち、個人のプライバシー侵害は許されないということが、単にマナーではなく法規となった。

 動向を注視すべき理由の一つ目は、この規則の適用は、EEA域の内外を問わないという点で、日本企業にも関連することがある。実際のビジネスはグローバル化が進んでいる。日本人を含む多くの人がEEA域を出入し、そのすべての人に適用されるからだ。EEA31ヵ国と「何らかの関連がある会社や企業グループ」では、この規則の適用の可能性があることになる。

 二つ目は、罰金の大きさだ。これを犯すと罰金の上限は2,000万€(平均レート1€を130円とすると26億円)、あるいは、全世界の年間セールス額の4%のどちらか大きい額となる。レートが130円と変わらないとすると、円ベースで概ね650億円を超えるセールス額だと後者のケースとなる。例えば、グローバルベースで合計1,000億円のセールスがある会社は、規則に違反したと認定されると最大で4%の40億円が罰金となる。多くの日本企業は、営業利益率は10%の壁といわれるように10%を超える企業は少ない。従い、罰金が上限に達すると、相当の企業利益を失うことになる。実際は、€の為替レートの関係でこの数字はあくまで概算であるが、大きな額であることは間違いない。

 詳細の処罰は、運用される該当31ヵ国のそれぞれの解釈で変わるようなので、このような各国の事情ごとのGDPR専門家を就けることは難かしいそうだ。かつ、法律文書の常で「無味乾燥」な文章の上に、約70件を超える要件があるといわれるので、その正確な解読は難しそうだ。EEA内でも、北欧と南欧では文化は違う。当然、法解釈にも違いが出ると思われる。日本国内で一律一様の対策マニュアルを作っても、適切な対応策とはいい難い。

 プログラム・プロジェクトマネジメントに限らず、マネジメントの主要な関係者は、顧客であり協力会社であり同僚や部下などから構成する「人」である。その「人」の個人的特徴などを含む個人情報を知らずに、人の管理は不可能である。その個人情報がむやみに公開されることは、もちろん論外だが、管理上大きな制限が生じることになると、それこそマネジメント上の大問題だ。

 個人情報の規制に詳しいコンサルタントは、「プライバシー保護とデータ保護の順守の徹底を、プロジェクトのスタート段階で固める」という“プライバシー・バイ・デザイン”と(Privacy by Design)いう“新しい形のベストプラクティス”が必要」と云う。確かに、開始時にその方針が決められれば、個人情報の取り扱い上のリスクを犯す確率は減るが、その決定は大変難しいだろう。プロジェクトの開始時には、短期間に多種類目の決定をしてゆかねばならないが、初期であるが故にデータは常に充分でない。プロジェクトマネジャーや責任者は、自らの経験でその不充分さを補ってきた訳だから、このベストプラクティスの実行の難しさがわかる。

 個人情報保護が当然の個人の権利と認められる事は、現在の社会通念上自然な流れだ。だが、まだ適用が始まって間もない現時点では推測できないことが多い。これから数年かけて実務上のプラクティスが徐々に明確化されてゆく。その過程では、ある程度の「犠牲者」を出しながら、落ち着くべきところに落ち着くと思われる。大変重要な問題だけに、この動向に目が離せない。

以 上

注 : GDPRの関連情報は、日経XTECH ACTIVEの2018年3月8日号の「欧州『一般データ保護規則(GDPR)』の直前対策、5つのポイント」
ページトップに戻る