[Brexit対策] GDPRとPECRの違いについて理解する
2019年8月現在、新しいイギリス首相に「(EUとの)合意なき離脱もやむなし」と主張するボリス・ジョンソン氏が就任し、同年10月末の離脱期限までの動静が注目されています。
さて、EU圏内における個人情報保護規則については、「EU一般データ保護規則 (GDPR)」が有名ですが、これとは別に「PECR」という言葉を聞いたことがある方も多いかと思います。EU離脱後のイギリスはどのように個人情報保護を行うのでしょうか。以下では、「GDPR」と「PECR」の違いについて理解した上で、Brexit後の対策についてご紹介いたします。
GDPRとは何か
2016年に採択され、2018年より試行されたGDPRについては、多くのニュースなどで取り上げられたため、ご存じの方も多いと思います。EU域内における個人情報保護のための規則で、一部例外を除き、EU域内で活動するすべての組織で適用され、最大で全世界の売上高の4%が罰則となる、という点が特に着目されました。
何を持って個人情報とするかが定義されたのも、GDPRの特徴の1つです。姓名、自宅の住所、個人の写真、メールアドレス、銀行口座情報、SNSやインターネットの投稿、医療情報、IPアドレスなどが個人情報とされています。
ちなみに、日本の経済産業省が発表した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、個人情報について「氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない」と記載されています。日本において個人情報保護対策を行ってきた企業からすると、「GDPRは個人情報の範囲がことさらに広く大変」とは感じることはないかかと思います。
ちなみにGDPRによると、個人情報を取得する際には、個人情報の保持期間ならび、組織におけるデータ管理者、データ保護最高責任者の連絡先を通知する必要があります。そして、取得した個人情報をそのまま保持・利用されるのではなく、暗号化して保持し、復号のために必要な復号鍵を別に保管することが必要とされています。
2019年7月時点で、既にGDPR施行から1年以上が経過していますが、ホテル大手のマリオットインターナショナルが9900万ポンド(127億円)、航空大手のブリティッシュエアウェイズが1億8300万ポンド(236億円)など、巨額の罰金支払いを命じられています。
PECRとは何か
PECRとは「Privacy and Electronic Communications Regulations」の略語で、プライバシーと電子コミュニケーションに関する規則の頭文字を取った略語です。イギリスにおけるPCERは、2003年までさかのぼります。本人の同意を得ずに録音された通話記録をダイレクトマーケティングに利用した場合、それを違法とすることを目的として作られた法律です。この法律自体は、2002年のEU「電子プライバシー指令 (PECR)」に照らし合わせる形で法制化されたもので、GDPRよりも歴史があります。
GDPRとPECRの違いを簡潔にまとめると、以下の通りになります。GDPRは個人データの保護に関しての強い罰則付きの規則であることに対し、PECRは個人データを活用したマーケティングに対する規則で罰則はさほど厳しくはありません(上限50万ポンド、約6450万円)。
2002年の法制化時点での重要なポイントは、当事者間で合意していない場合のダイレクトマーケティングは違法であることが明記された点です。例えば、特に合意がない人に対してメールやDMを送信した後に、マーケティングデータベースに登録し、「連絡があればマーケティング対象から外す」、いわゆるオプトアウトを用いることができなくなりました。各企業の情報責任者は、マーケティング目的のメール送付やクレーム対応に責任を持ち、万が一違反した場合は50万ポンドを上限とした罰金が科せられます。
この法律自体はこれまでに7回改正されています。特に重要な改正は2018年に行われた「クレーム対応サービスのコールドコールの禁止」ならび「マーケティング規則に重大な違反があった場合の管理者への責任追及」、ならび2019年の「特定の条件下における年金制度に関するコールドコールの禁止」があげられています。
イギリス版PECRは、イギリス政府の個人情報保護担当部門であるICO (Information Commissioner’s Office)のホームページで細目が公開されています。最近では、2019年7月に「クッキーと類似したテクノロジーについて」という細目が公開されています。
イギリス離脱後に特別な対策が必要か
2018年12月にイギリス政府は、EUからの合意なき離脱が行われた場合のGDPR適用ガイダンスについて公表しています。EU離脱後は、イギリス法でGDPRを保持し、基本的な原則、義務、権利は保持するとしています。また、法律が離脱後も機能し続けるよう適切な変更を行っていくことも表明しています。
よって、EU向けのGDPR対策を行っている企業であれば、イギリス離脱後に特段の対策は不要です。また、イギリス版PECRは既に施行されているイギリスの法律であるため、こちらも対策は不要となります。
注意すべき点としては、イギリスで取得した情報をEU圏で利用するといった、データの自由な流れが提供されない点です。これについては、イギリス独自の規則が設けられる予定ですが、現時点ではまだ不透明であるため、状況を注視する必要があります。
また、イギリスのEU離脱後に、既に存在するEU版GDPRを下敷きにして、イギリス版GDPRともいうべき「データ保護法」がイギリス国内法として法制化されています。しかし、今後、2つが同時期に同様の変更が行われるかどうかは未知数です。イギリスならびイギリス以外のEU圏の両方に進出する企業は、変更を常に把握して、必要な対策を取り続けることが求められます。