2018年5月25日。欧州の市民にサービスを提供している、もしくは欧州企業と取引がある企業ならこの日付を一目見ただけでタイトルの意図が伝わるはずだ。
そう、この日はGDPR(General Data Protection Regulation)「一般データ保護規制」の施行日。GDPRはEU圏内における個人情報の保護を定めた法律であり、現在EU加盟国が各々に規制するデータ保護規制を統一し強化する事を目的としている。
他人事ではない「域外移転」
日本企業が戦々恐々とするのはGDPRの「域外移転」の項目だ。データ管理者、データ処理者、データの主体(個人)がEU域内にある場合、個人データを取り扱うEU域外に拠点を置く企業にも適応される。EU域外に個人情報を移転する際には厳格な規定が設けられているためEU圏内に子会社や営業所を持つ日本企業などは対応を求められている。
厳格な罰則規定
特筆すべきは強化された罰則規定で、当局の定めるコンプライアンスに違反した場合2000万ユーロ(約26億円)以下か、その企業の全世界の売上の4%以下のうち高い方が罰金として科せられる可能性がある(詳細:第83条6項)。
個人情報はどこまで規定されるのかに関して、対象となる日本企業の認識は考慮されない。第9条では個人情報のカテゴリーとして人種的素性、民族的素性、政治的意見、宗教的信条、哲学的信条、労働組合のメンバーシップ、本人確認の際に利用される生体データ、健康情報、性生活と性的志向に関するデータなどが挙げられており、対象となる企業は現状のガイドラインを見直し、GDPRの基準に合わせて対応しなければならない。
対応が遅れる日本企業も
GDPRの施行を控え、サードパーティーとして主にコンサルファーム、法律事務所、ITベンダーなどが委託を受けるのだが、PwCが2017年10月にリリースした調査によるとGDPRへの対応を完了したと答えた日本企業は2%に過ぎなかった。また「GDPRの準備とコンプライアンス対応に、どの程度の予算を見込んでいますか?」との質問に対しては、準備の具体化を完了した企業の内40%が1000万ドル以上と答えており、88%の企業が100万ドル以上の予算を見込んでいる。(EU GDPR対応状況調査結果)
ICOバブルに終止符を打つのか
当然ICOを通じてEU圏内で資金調達をした企業もEU圏内の個人情報の取り扱う上でGDPRに準拠しなければならない。ICOの多くは詐欺的と言われる中で、GDPRに対応出来ないICO主体者はこれから厳格に淘汰される事となるだろう。資金調達の容易さや法整備が追い付いていない事から安易にICOを行った企業があるとすれば大きな代償を支払う事となる。今回のICOバブルに終止符を打つのはマーケットの熱量ではなく、遅れてやってきたオーソリティなのかも知れない。
次回:「GDPR後の世界においてICOは凄惨な狩り場となる」