残り1年 日欧EPAの影で日本企業に新たなリスク

Sorry, this entry is only available in Japanese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

 日本と欧州連合(EU)が6日、経済連携協定(EPA)の締結で大枠合意した。チーズや自動車などの関税撤廃・削減で折り合い、貿易の活発化が期待される。だが斎藤ウィリアム氏は、EUに関わる企業は今後、セキュリティー面で大きなリスクに直面する、と指摘する。2018年5月25日に施行予定のEUの新しい個人情報保護法、「GDPR」だ。

 今、欧州の多くの経営者が、施行まで1年を切った「GDPR」により、ビジネスがどう変わるか熱心に議論しています。GDPRとは、「General Data Protection Regulation」の略で、直訳すると「一般データ保護規則」という意味です。EUには以前から企業が個人情報を扱うことに関する規則がありましたが、成立した1995年から20年以上過ぎており、時代にあわせた新たなルールが生まれようとしています。

 日本人の経営者層のほとんどの方が、GDPRの言葉自体をまだ知りません。GDPRは国際法です。この新しい規則の適用範囲はEU内に所在している企業だけでなく、(1)EUに子会社、支店、営業所を有している企業(2)日本からEUに商品やサービスを提供している企業(3)EUから個人データの処理について委託を受けている企業――にまで及びます。日本企業で該当する企業は多いはずです。

 GDPRの罰則は極めて厳しいものです。違反時の制裁金は最大で「全世界のグループ売上高(年間)の4%、または2000万ユーロ(約26億円)のうちいずれか高い方」に及びます。

■もしトヨタが違反したら

 仮にトヨタ自動車が4%の罰則を科されたとすると、トヨタの連結売上高(2017年3月期)は約27兆6000億円ですから、制裁金は1兆円に達します。たった1回の規則違反で、市場から一発退場になる企業が出ても不思議ではありません。

 想定できるのは、たとえばEU域内に進出している企業が、現地の顧客データを漏洩・紛失した場合はもちろんのこと、域内に日本から物品を輸出している企業が、顧客名簿を日本で紛失するケースもあります。顧客データの解析などをEU企業から請け負っている場合も同様です。いずれも、こうした情報の漏洩やハッキングに対し、きちんとした対応や社内制度を整えていない場合に、罰則の対象になる可能性があります。

 GDPRがこれまでの個人情報保護と異なっているのは、罰金を、「全世界の売上高の4%」にするとまで言及していることです。これまで、EUは日本企業がEU内で起こしたことに対して「世界の売り上げ」を対象に罰金を要求することはありませんでした。

 私が接する経営者の中には、個人情報漏洩について「結局、謝罪すればすむ」とか、「日本の個人情報保護法に基づけば、数億円の罰金ですむ」などという人もいます。しかし、今回、GDPRが施行されれば、リスクの範囲はEU内でとどまりません。企業全体の売上高にダメージを与える強さです。

■問われるのは情報保護のネグレクト

 ハッカーによる攻撃などは不可抗力の面もあります。ですから、EUが対象として問題としているのは、情報保護に対する企業の「ネグリジェンス」、すなわち「無頓着」あるいは「怠慢」なのです。それまで適切な対策を取ってこなかった企業に対して、厳しい罰金を科すぞ、というのがメッセージなのです。

 これからEUに進出しようとする企業は、どう対策すればいいのか。GDPRは、「データ保護責任者の設置」や「EU域外へのデータ持ち出しルール」など、細かな規定がありますが、詳細の把握は難しいものです。すでに、外資系のコンサルティング企業や国際法に詳しい弁護士らは、海外の動きを察知し研修や告知を始めています。

 私がここで伝えたいのは、GDPRの対応策は、1カ月などの短期間でできるものではない、ということ。経営陣に今から個人情報を守ることの重要性を理解してもらい、今から経営層に「CSO(最高セキュリティー責任者)」をおいて準備してもらいたいのです。

 誤解を恐れずに言えば、日本企業はEUから狙われています。国際裁判で戦うことに不慣れで、キャッシュを持っていると思われているからです。ある意味の「見せしめ」として当局にターゲットとされ、多大な罰金を払う危険があります。

 これも考えたくないことですが、日本企業のライバル企業がハッカーを雇い、EU域内の顧客情報を大量に流出させ、罰金を払わせることで経営体力を失わせるといった挙にでる可能性さえ、専門家の間では指摘されています。

 すぐに準備することをお勧めします。施行までの時間はすでに1年を切っています。

日本経済新聞で掲載されました

Posted by whsaito

Leave a Reply

Your email address will not be published. Required fields are marked *

 

Do NOT follow this link or you will be banned from the site!