「忘れられる権利」で知られるEU(欧州連合)の一般データ保護規則(GDPR)が2018年5月25日に施行される。この連載では押さえておくべきGDPRと対応策のポイントを紹介する。GDPRでは広範な個人データが保護対象となる点に注意が必要だ。

(出所:123RF)

 EU(欧州連合)の一般データ保護規則(GDPR)における個人データとは何を指すのだろうか?

 本人を直接特定できる氏名や自宅住所などの個人データが保護対象であることは容易に想像がつく。GDPRはさらに広範な個人データが保護対象となる点に注意する必要がある。

GDPRにおける個人データの定義

 GDPR 第4条における言葉の定義を見てみよう。個人データについては「自然人を特定した、あるいは特定可能なあらゆる情報」と書かれている。

 「特定可能な自然人」とは、名前やID(識別子)、位置情報、オンライン識別子または1つ以上の物理的、生理学的、遺伝的、心理的、経済的、文化的、社会的地位といった要素によって、直接的あるいは間接的に特定できる人のことをいうと書かれている。

 もう少しかみ砕くと、様々なデータの組み合わせで個人が最終的に特定できるのであれば、すべて個人データとみなされることを意味する。なんと広範な定義なのだろうか。

 例えば、あなたが会社からインターネット上のWebサイトをクロールするケースを想像してみてほしい。

 企業がインターネットに接続する際に、セキュリティ上の理由からProxy(プロキシー)サーバーを経由したインターネット上のWebサイトへのアクセスのみを許しているケースが多いと思う。このとき、Proxyサーバー上には何時何分何秒に、どのIPアドレスからどのWebサイトへアクセスしたのか、というログが残る。

 一方でIPアドレスの割り当てについては、別のサーバーのログを見ることでどの端末に割り当てられたのかが分かる。社員1人に1台のPCが割り当てられている会社では、この時点で誰がいつ、どのWebサイトを見ていたのかを特定できる。

 業務と関係のないサイトでレストランを予約したり、ゴルフ場の天気やスキー場の降雪量などを見たりすることもあるだろう。必要に迫られてオンラインバンキングの操作をすることもあると思う。

 これを会社が常時監視していたとしよう。仕事と関係がないWebサイトを見るのは業務と関係ないと会社がみなして、減給や解雇をするなどの措置を行った場合、EUでは裁判沙汰になることがある。

 欧州の場合、個人の権利意識が高く、広く浸透している。一般に業務範囲(Job Description)が明確に決められていて、いわゆるオフィスワークは業務時間そのものよりも成果で評価するためだ。

 もちろん各国の労働法に従って、成果を出せずにしかるべき勧告を行って、本人に通知した上でパフォーマンスを監視するといったことは可能ではある。しかし、手続きをきちんと踏まずに一律に従業員を監視することは許されていない。

 筆者が欧州で働く前は、従業員は仕事をしているかどうか監視されて当然だろうと思っていた。ところが実際に働いてみると、「日本にいたときと考え方をガラリと変えないとGDPRに引っかかってしまう」ということを痛感している。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。