2018年12月07日
欧州からの個人データ移転、着々拡大
セキュリティ・コラム by MM総研所長 中島洋
2018年5月に施行された厳格な欧州の個人データ保護ルール「GDPR(一般データ保護法)」について動きが出てきた。これまで最低限の情報しか得られなかった、欧州から日本への航空便の搭乗客情報について、フランス、イギリス、スイスなど、欧州11か国との間で2国間協定を結び、密輸やテロの防止対策につながる個人情報を日本側で入手することができる見通しとなった。それとともに日本に移転された個人データが絶対に流出しないような厳重な管理も求められることになる。
海外から日本に来る旅行客の中に密輸やテロの犯罪容疑者が紛れこんでいないか。これを水際で防止するため、日本の税関はWCO(世界税関機構)の指針や関税法に基づいて、日本への航空便の旅客に関して「氏名」「国籍」「予約日」「旅行日程」など30項目以上の「乗客予約記録」(PNR)を入手している。米国やアジアなどからの旅行客についてはこれらの情報によってリスクを判断し、対象を絞り込んで対策を打っているが、欧州だけはこれまで除外されている。その理由がGDPRである。欧州は日本側のPNRの提供要請に応じていない。氏名や性別など最低限の乗客情報しか入手できない状況だという。
この状況を打開するため、2019年春にも欧州主要国とそれぞれ2国間協定を結ぶ方針で交渉が続いている、という。
具体的には、協定を結んだ国の税関が航空会社のデータや空港での挙動などに基づいて怪しいと判断した旅客に関して、「日本側が情報提供を受けられる」ようにするというのである。この情報に基づいて、日本の税関側は到着時に重点的に疑惑の旅行客を見張るなどして「水際対策」の精度を上げる。
GDPRについては、相手国に個人データを保護する十分な体制ができていると認定すれば(十分性認定)、欧州は個別に欧州からの個人データの移転を認める。日本についても数年にわたる交渉の末、十分性認定が得られる見通しとなって、細部の調整が続いているが、今回の「搭乗者情報の提供」が実現すれば、さらに踏み込んだ個人データの移転になる。
ただ、それだけに厳重なデータ保護が要求される。万が一にも流出があれば、日本全体のセキュリティの信頼が崩れることになりかねない。
さらに11月下旬、気になるニュースが流れてきた。
「英国とオランダの個人情報保護当局は、米ウーバーテクノロジーズから2016年に大量の個人情報が流出した問題で、それぞれ同社に罰金を科すと発表した。金額は英国が38万5000ポンド(約5600万円)、オランダが60万ユーロ(約7700万円)。データ保護体制が不十分で、被害者への通知を怠るなど発覚後の対応も不適切だったと指摘した」というのである。
GDPR施行前の事件である。GDPRではさらにペナルティの金額は膨大になる。欧州は「罰金を科す」と言ったら、本当にする、というのがこのニュースで実証された。GDPRも単なる「脅し」ではなく、違反があれば実際に巨額の罰金を科すだろう。企業の存亡を揺らがす恐れがある。データの保護にはさらに厳しい対応が迫られる。
欧州が日本に個人データを移転するのを許可するというのは、それ自体、歓迎すべきニュースである。しかし、同時にデータを守るという重い責任が一緒に伴ってくる。一段と厳格なデータセキュリティ対策を考えなければいけない。