GDPRとは？英国におけるGDPRコンプライアンスの概要ガイド

2018年5月25日、長年の準備期間が終わりました。ヨーロッパ全域で、長らく計画されていたデータ保護改革が施行され始めました。相互に合意された一般データ保護規則（GDPR）は施行されてから約2年が経過し、個人情報を保護する法律を近代化しました。

GDPRは、ヨーロッパ全域で20年近く前に制定されたデータ保護規則に取って代わりました。これらの規則の中には、1990年代に初めて起草されたものも含まれています。それ以来、データ中心のライフスタイルが生まれ、人々は日常的に個人情報をオンラインで自由に共有するようになりました。

EUは、GDPRは加盟国全体のデータプライバシー法を「調和」させ、個人の保護と権利を強化することを目的として策定されたと述べています。GDPRはまた、企業やその他の組織が、自らと関わりのある人々の情報をどのように取り扱うかを変えるためにも制定されました。規則に違反した者は、多額の罰金や評判の失墜を招く可能性があります。

この規則は大きな変化をもたらしましたが、従来のデータ保護原則を基盤としています。そのため、英国の情報コミッショナーであるエリザベス・デンハム氏をはじめとするデータ保護関係者の多くは、GDPRを権利の完全な見直しではなく、進化と捉えています。デンハム氏は、GDPR施行以前の規則を既に遵守していた企業にとって、この規則は「大きな変化」となるはずだったと述べています。

GDPR施行前の移行期間が設けられ、企業や組織はポリシー変更のための時間を確保できましたが、それでも規則をめぐる混乱は依然として多く残されています。GDPRの真の意味について、以下に解説します。

GDPR とは正確には何ですか?

GDPRは、世界で最も強力なデータ保護規則と言えるでしょう。GDPRは、個人が自分に関する情報にアクセスする方法を強化し、組織が個人データをどのように利用できるかを制限するものです。GDPRの全文は99の個別の条項から成り、非常に扱いにくいものです。

この規則は、欧州大陸全体の法律の枠組みとして存在し、1995年に制定された従来のデータ保護指令に取って代わりました。GDPRの最終版は、4年以上にわたる議論と交渉を経て策定され、2016年4月に欧州議会と欧州理事会の両方で採択されました。その基礎となる規則と指令は、同月末に公表されました。

GDPRは2018年5月25日に施行されました。欧州各国は、自国のニーズに合わせて独自の小さな変更を加える権限を与えられました。英国では、この柔軟性により、1998年データ保護法に取って代わる2018年データ保護法が制定されました。

GDPR の強みは、人々の個人データの取り扱い方に関する進歩的なアプローチとして高く評価されており、その後に制定されたカリフォルニア州消費者プライバシー法と比較されています。

GDPR は誰に適用されますか?

GDPRの中心となるのは個人データです。広義には、利用可能なデータから、生きている個人を直接的または間接的に識別できる情報を指します。個人名、位置情報、明確なオンラインユーザー名など、明らかな情報もあれば、IPアドレスやCookie識別子など、一見すると分かりにくい情報も個人データに含まれます。

GDPRでは、より厳格な保護が適用される特別なカテゴリーの機密個人データもいくつか存在します。これらの個人データには、人種や民族的起源、政治的意見、宗教的信念、労働組合への加入状況、遺伝情報や生体認証データ、健康情報、性生活や性的指向に関するデータなどが含まれます。

個人データを構成する要素として重要なのは、個人を特定できるかどうかです。仮名化されたデータであっても、個人データの定義に該当する可能性があります。GDPRにおいて個人データが極めて重要なのは、個人データの「管理者」または「処理者」である個人、組織、企業がこの法律の対象となるためです。

英国のデータ保護規制機関である情報コミッショナー事務局（ICO）は、「管理者は主要な意思決定者であり、個人データ処理の目的と手段について総合的な管理権を行使する」と述べています。また、複数のグループが個人データの取り扱い方法を決定する共同管理者が存在する場合もあります。ICOは、「処理者は、関連する管理者に代わって、かつその指示のみに従って行動する」と述べています。GDPRでは、管理者は処理者よりも厳格な義務を負います。

GDPRはEU発のものですが、域外に拠点を置く企業にも適用されます。例えば、米国に拠点を置く企業がEU域内で事業を行っている場合、またEU市民の管理者である場合にもGDPRが適用されます。

GDPR の主要原則は何ですか?

GDPRの中核を成すのは、7つの主要原則です。これらはGDPR第5条に規定されており、人々のデータの取り扱い方を規定する指針として策定されています。これらは厳格な規則ではなく、GDPRの広範な目的を規定する包括的な枠組みとして機能します。これらの原則は、以前のデータ保護法に存在していた原則とほぼ同じです。

GDPRの7つの原則は、合法性、公平性、透明性、目的の限定、データの最小化、正確性、保存期間の制限、完全性および機密性（セキュリティ）、そして説明責任です。実際には、これらの原則のうち、データ保護規則において新しいのは説明責任のみです。英国では、その他の原則はすべて1998年データ保護法に存在していたものと類似しています。

ICO の GDPR ガイドでは原則が詳しく説明されていますが、ここではそのうちのいくつかだけを取り上げます。

データの最小化

データ最小化の原則は新しいものではないが、かつてないほど多くの情報が生み出される時代において、依然として重要である。組織はユーザーから必要以上の個人情報を収集すべきではない。ICOは「目的を達成するために必要な最小限の個人データを特定すべきだ」と述べている。「その量の情報は保持すべきだが、それ以上の情報は保持すべきではない」

この原則は、組織が個人に関するデータを収集する際に、その種類が過剰にならないようにするためのものです。例えば、オンライン小売業者が、セールの通知を受け取るために自社のメールメーリングリストに登録する人々の政治的意見を収集する必要はほとんどないでしょう。

完全性と機密性（セキュリティ）

1998年のデータ保護法では、セキュリティは7番目の原則として定められました。20年以上にわたる導入を経て、情報保護に関する一連のベストプラクティスが生まれ、現在ではその多くがGDPRの条文に盛り込まれています。

個人データは、「不正または違法な処理」だけでなく、偶発的な紛失、破壊、または損傷からも保護されなければなりません。簡単に言えば、これは、ハッカーによるアクセスやデータ侵害による偶発的な漏洩を防ぐために、適切な情報セキュリティ保護対策を講じる必要があることを意味します。

GDPRは、組織ごとに異なるため、適切なセキュリティ対策がどのようなものかを明確に規定していません。銀行は、地元の歯科医院よりも堅牢な方法で情報を保護する必要があります。しかし、一般的には、情報への適切なアクセス制御を導入し、ウェブサイトを暗号化し、仮名化を推奨する必要があります。

「サイバーセキュリティ対策は、ネットワークと情報システムの規模と利用状況に適したものでなければならない」とICOは述べている。データ漏洩が発生した場合、データ保護規制当局は、科される可能性のある罰金を決定する際に、企業の情報セキュリティ体制を精査する。キャセイパシフィック航空は、GDPR施行前の法律に基づき、英国の顧客11万1578人の個人情報を漏洩したとして、50万ポンドの罰金を科された。同航空会社のセキュリティ体制には「基本的なセキュリティ上の不備」があったとされている。

[h3]説明責任 /h3]

説明責任は、GDPRにおける唯一の新たな原則です。これは、企業が規則を構成する他の原則の遵守に取り組んでいることを証明できるようにするために追加されました。簡単に言えば、説明責任とは、個人データの取り扱い方法と、必要な人だけが情報にアクセスできるようにするための措置を文書化することを意味します。説明責任には、データ保護対策に関するスタッフのトレーニングや、データ処理プロセスの定期的な評価も含まれます。

個人のデータの「破壊、紛失、改ざん、不正開示、またはアクセス」は、当該データの対象者に悪影響を与える可能性がある場合、当該国のデータ保護規制当局に報告する必要があります。これには、金銭的損失、機密情報の漏洩、信用の失墜などが含まれますが、これらに限定されません。英国では、組織がデータ侵害を知った後72時間以内にICOに報告する必要があります。また、組織は侵害の影響を受けた個人にも通知する必要があります。

従業員数が250人を超える企業は、個人情報の収集・処理理由、保有する情報の内容、保有期間、そして実施されている技術的セキュリティ対策について文書化する必要があります。GDPR第30条では、ほとんどの組織がデータ処理、データの共有方法、そして保管方法に関する記録を保持する必要があると規定されています。

さらに、大規模な個人に対する「定期的かつ体系的なモニタリング」を実施している組織、または大量の機密性の高い個人データを処理する組織は、データ保護責任者（DPO）を雇用する必要があります。GDPRの対象となる多くの組織では、これは新たなスタッフの採用を意味する可能性がありますが、大企業や公的機関ではすでにこの役割を担う人材がいる場合もあります。この職務において、DPOは上級職員に報告し、GDPRの遵守状況を監視し、従業員や顧客との連絡窓口となる必要があります。

組織がGDPRの原則のいずれかに違反した可能性があるとして調査を受けている場合、説明責任の原則も極めて重要になります。導入されているすべてのシステム、情報の処理方法、そしてエラーを軽減するために講じた措置について正確な記録を保持することで、組織は規制当局に対し、GDPRの義務を真摯に受け止めていることを証明することができます。

GDPR に基づく私の権利は何ですか?

GDPRはデータ管理者と処理者に最も大きな負担を課すと言えるかもしれませんが、この法律は個人の権利保護を目的としています。そのため、GDPRでは8つの権利が規定されています。これらの権利には、企業が保有するデータへの容易なアクセスや、場合によってはデータの削除などが含まれます。

GDPR で規定されている個人の権利は、通知を受ける権利、アクセス権、訂正権、消去権、処理制限権、データ移植権、異議申し立て権、自動化された意思決定およびプロファイリングに関する権利など多岐にわたります。

GDPRの原則と同様に、ここでは一部の権利についてのみ詳しく説明します。詳細はICOのウェブサイトをご覧ください。

データへのアクセス

企業や組織があなたについて何を知っているかを知りたい場合は、個人情報開示請求（SAR）が必要です。以前はこの請求には10ポンドの費用がかかりましたが、GDPRの施行により費用は廃止され、個人情報の開示請求は無料になりました。弁護士など、代理人があなた以外の人物の個人情報を請求することは可能ですが、本人が請求することはできません。

SARを申し立てた個人は、組織が個人データを処理していることの確認、当該個人データのコピー（例外が適用される場合を除く）、および要求に関連するその他の補足情報の提供を受ける法的権利を有します。要求には1ヶ月以内に回答する必要があります。

SAR（ソーシャルリクエスト）を利用して、テクノロジー企業が保有する個人情報を盗み出すことに成功した事例があります。Tinderは、ある人物にアプリの利用状況に関する800ページもの情報を送信しました。情報には、学歴、関心のある相手の年齢層、すべての試合の開催場所などが含まれていました。また、 FIFAへの支出額やAmazonのウェブサイトでのショッピング中に行われたすべてのクリックが明らかになった事例もあります。

SARは書面または口頭で提出できます。つまり、組織は、要求された情報がGDPRにおける個人データに該当するかどうかを判断する必要があります。SARにはSARであることを明記する必要はなく、組織内の誰に対してでも提出できます。ソーシャルメディア経由でも送信できますが、ほとんどの人にとって最も一般的な形式はメールでしょう。組織は、要求された情報に加えて、個人情報を処理する理由、情報の使用方法、そして保管期間についても詳細を提供する必要があります。

多くの大手テクノロジー企業は独自のデータポータルを保有しており、そこからユーザーの情報の一部をダウンロードすることが可能です。例えば、Facebookはユーザーが過去の画像、投稿、フォロワーをすべてダウンロードできるようにしています。また、TwitterやGoogleも、SAR（本人確認申請）を提出しなくてもアカウントに関連付けられた情報にアクセスできます。しかし、これらの情報アクセス方法では、ユーザーが望むすべての情報が含まれていない場合があります。もし、本人確認申請を提出しても、作成者が期待する結果が得られなかった場合、ICOに異議を申し立てることができます。

自動処理、消去、データ移植性

GDPRは、データの自動処理に関する個人の権利も強化しています。ICOは、データ処理が自動化され、個人に重大な影響を及ぼす場合、個人は「決定の対象とされない権利を有する」と述べています。一定の例外はありますが、一般的に、個人に関する決定については説明を受ける必要があります。

この規則は、個人に一定の状況下で個人データを消去する権限を与えています。これには、個人データが収集された目的にもはや必要でなくなった場合、同意が撤回された場合、正当な利益がない場合、違法に処理された場合などが含まれます。

データポータビリティはGDPRの大きなバズワードの一つですが、実際には最も動きが鈍いテーマの一つです。その理論は、あるサービスから別のサービスへ情報を共有できるべきだというものです。データ共有の好例の一つは、Facebookがユーザーの写真をGoogleフォトアカウントに自動転送する機能です。これは、Apple、Google、Facebook、Twitter、Microsoftが参加するデータ転送プロジェクトによって開発されました。

GDPR違反と罰金

GDPRの最大かつ最も話題となった要素の一つは、規制当局が遵守しない企業に巨額の罰金を科す権限を持つことです。組織が個人データを適切に処理していない場合、罰金が科せられる可能性があります。データ保護責任者（DPO）の設置を義務付けているにもかかわらず設置していない場合、罰金が科せられる可能性があります。セキュリティ侵害が発生した場合にも、罰金が科せられる可能性があります。

英国では、これらの金銭的罰則はICOによって決定され、回収された資金は財務省を通じて再び納付されます。GDPRでは、軽微な違反には最高1,000万ユーロまたは企業の全世界売上高の2%（いずれか大きい方）の罰金が科せられると規定されています。GDPRの重大な違反には、より深刻な結果がもたらされ、最高2,000万ユーロまたは企業の全世界売上高の4%（いずれか大きい方）の罰金が科せられる可能性があります。以前のデータ保護制度では、ICOは最高50万ポンドの罰金しか科せられませんでした。

GDPRが施行される前は、データ保護規制当局が法令違反が発覚した企業に巨額の罰金を科すのではないかとの憶測が飛び交っていました。しかし、実際にはそのような事態は起きていません。データ保護に関する調査は長期にわたる複雑なものになる可能性があり、調査結果が誤っている場合は、裁判所を通じて異議を申し立てられる可能性があります。

GDPRに基づくこれまでの最高額の罰金の一つはGoogleに対するものでした。フランスのデータ保護規制当局である国家データ保護委員会（CNIL）は、同社に5,000万ユーロ（4,300万ポンド）の罰金を科しました。CNILは、この罰金の理由として主に2つを挙げています。1つはGoogleが20もの異なるサービスから取得したデータの使用方法についてユーザーに十分な情報を提供していないこと、もう1つはユーザーデータの処理について適切な同意を得ていないことです。

また、ダウンロードした人々をスパイしたラ・リーガのアプリ、誤って顧客の詳細を開示したブルガリアのDSK銀行、生徒を追跡した学校にも罰金が科せられた。

しかし、最も高額な罰金は英国から科される可能性があります。ICOは、航空会社のブリティッシュ・エアウェイズとホテルチェーンのマリオットに対し、GDPR違反を理由に「罰金通知」を発行しました。ブリティッシュ・エアウェイズには1億8,300万ポンド、マリオットには9,900万ポンドの罰金が科されるとの見通しでした。しかし、これらはいずれも罰金通知であり、正式な罰金ではなく、どちらの会社も罰金を支払っていません。実際、両社はICOの通知に異議を唱えています。

この記事はGDPRの施行に先立つ2017年に最初に公開されましたが、その後最新の情報に更新されました。

マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。

この記事はWIRED UKで最初に公開されました。