個人情報委員会主催、日経新聞後援のGDPRセミナーに参加した。各社プレス向けの特等席も多く用意されており、今後、順次報道されるものと思われるが、要点だけここに記録しておく。

セミナータイトル：
「GDPRセミナー　～執行機関とビジネス実務の観点から～」
日時：2018年11月20日（火） 14:00～17:00
場所：ハイアットリージェンシー東京

記

１．要点

・Facebook Cambridge Anayticaのスキャンダルをみても分かるように、デジタルライフにおけるプライバシーの侵害が深刻になっており、フランスでも66%の人がデータ保護に関する状況が悪化していると回答している。プライバシー保護という基本的な権利の保護において、GDPRの果たす役割は大きい。

・そもそも、GDPRは世界各地のプライバシー保護、個人情報保護の要素を持ってきて作られている（例：Privacy by Designはカナダから、Certificateはアジアから等）。GDPRが個人データ保護における世界のスタンダードになってことを目指しており、世界でもっとのレベルの高いデータ保護を求める「Gold Rule」とも言える。GDPRに対応することが今後の競争力を高める上での鍵となる。

・今年（2018年）５月のGDPR発効後、約半年が経ったが、何千ものDPO（データ保護責任者）が指名され業務を開始しており、各企業でデータ保護の取り組みが進められている。各国のDPA（データ保護当局）にはどのように対応すべきかかのついての質問が殺到し、回答に２か月を要している状況。これから判例が出て、皆がGDPRに馴染んでいく段階にある。

・５月の時点でも、GDPRへの対応準備が出来ていなかった企業も多かったが、世界に終わりは訪れなかった。まずはパニックに陥らず、冷静になって対応することが重要である。GDPRでは、特にリスク・ベース・アプローチの考え方で進めることが重要で、リスクの大きい順に優先順位を決めることが必要。漏洩時の報告体制は優先課題である。

・世界の標準を目指して作られたGDPRではあるが、現実を見れば、各国法の廃止を求めておらず、EU域内ですら完全な統合（ハーモナイゼーション）は出来ていない。また、19年3月(*)に英国は、EUを離脱（Brexit）する為、日本と同じ第三国扱いとなる。(* 厳密には2019/3/29 23:00 グリニッジ標準時間)

・世界には約百のデータ保護関連の法律が整備されている国・地域があるが、EUから十分なデータ保護の水準にあると認められた（「十分性認定」を取得している）国・地域は僅か11のみ。認定取得までに大きな労力と長い歳月が掛かり、国や地域単位で１：１の形で認定してくのが効率性の観点から本当よいと言えるのか疑問の声もある。アジア地域ではAPECのCBPR（越境プライバシールール）をその枠組み（あるいは十分性認定取得を支援する仕組み）として発展させていく可能性もあるだろう。いずれにせよ、データ保護規制の国際的な相互運用性（インター・オペラビリティ）の確保が課題である。

・欧州では、GDPRとは別にe-Privacy法があり、両方に対応する必要がある。

・最終案がEUで承認されることが前提であるが、日本の十分性認定は今年中に取れる見込みである。GDPRにおいて、大切なのはアカウンタビリティ(Accountability)。十分性認定が取得されても、各企業は、実施しているデータ処理の「法的根拠」を示す必要があることを改めて認識することが肝要である。

２．所感

・個人情報委員会主催のセミナーということあり盛況。主催者側説明によると、定員400人で募集したが、１日で埋まってしまったとのこと。各プレゼンテーションにおいて新しい情報は少なかったが、GDPRで掲げた理想と実際の運用ギャップは大きく、欧州内でも混乱している様子が伝わってきた（EU域内のバラつき、DPAのキャパシティオーバー等）のが収穫であった。

・国際連携も課題が多く、データ保護規制の国際的な相互運用性（インターオペラビリティ）の確保の重要性が何度も指摘されていた。日本はAPEC CBPRの地位向上に熱心であることも分かった。

・パネルディスカッションの参加者からは、十分性認定（米国はプライバシーシールド）協議の非効率性を指摘し、運用面もDPA（データ保護当局）に質問しないと何も進められてないのは如何なものかとの批判が出るなど、かなり本気の議論になっていた。最後は、今後も今回のような国際間での対話を続けていくことが重要との認識を示して、会を締めくくっていた。今後も状況アップデートに務めたい。

以上