データ総研ではデータマネジメントに関する最新動向を調査するために、毎年、国際的なカンファレンスに参加しております。
今年は、5月にロンドンで開催された「IRM UK」という情報資源管理のプロフェッショナル育成を目的にしている団体が主催するカンファレンス(※)に参加してきましたので、その中から気になったトピックをご紹介します。
※データマネジメントに関するカンファレンスとしてはヨーロッパ最大のもので、今年は100近くのセッションに300人の参加者が集まりました。以下URLからカンファレンスのWEBページを参照できます。(全編英語)
http://www.irmuk.co.uk/mdm2016/pdfs/MDMDG2016-WBD.pdf
皆さんは「GDPR」という規則を耳にしたことはありますか。
「GDPR」とは「General Data Protection Regulation」の略語で、今年の4月に欧州議会で可決されたEUの一般データ保護規則のことです。「忘れられる権利」で知られている規則と言えば、ご存じの方も多いと思います。
2018年の施行を目指して、関連法の整備が進められていますが、この規則は、次に該当する全ての個人・団体が対象になります。
つまり、EU圏内の個人顧客情報を保有するグローバルなB2C企業はもちろん、EU市民を相手に商売をしている個人事業主なども、この「GDPR」を順守する必要があるのです。近年は、社内の個人顧客データと社外のSNSデータをプロファイリングし、事業に活用する事例も増えていますが、「GDPR」の施行後は注意が必要です。
「GDPR」では、個人には、プロファイリングを拒否する権利が認められており、2018年からは、個人情報を保有する企業が個人の同意無しでプロファイリングすると、罰則対象となる可能性があるからです。
もし「GDPR」に違反した場合は、日本を拠点にした企業であっても、次のような制裁金が課せられます。
上記のうち、より大きい金額が制裁金額となりますが、現在のレートで約12億円から約24億円と、非常に重い罰則内容になっています。
また、「GDPR」では、個人が、企業のデータ管理者に対し、自分に関わる情報へのアクセスと、別の企業のデータ管理者への移転を求めることができます。日本の多くの企業では、顧客個人情報の責任者は置いていても、このようなアクセス・移転に関する運用ルールと体制の構築は進んでいません。
この「GDPR」をきっかけに、個人情報に関するデータマネジメントの重要性を改めて強く感じました。日本では相変わらず個人情報漏洩のニュースが後を絶ちません。そもそもの認識として、個人情報は個人の持ち物であり、企業はそれを利用させて頂いているという立場を忘れてはいけません。個人情報は企業にとって利用価値の高い情報資産だからこそ、その責任とリスクも高くなるのです。これを機会に個人情報の管理体制と運用ルールを見直すのも良いかもしれませんね。