データ活用やDXがどんどん解る用語集　　　
GDPR（EU一般データ保護規則）

GDPR（General Data Protection Regulation）は、欧州連合（EU）における「個人に関するデータ」の取り扱いについて、配慮しなければいけないことを定めた規則です。日本語訳は「EU一般データ保護規則」で、GDPRの略称で広く知られます。
EU内に本社を置く企業だけではなく、EU内に支社がある企業や、EUに居住する人に関する個人データを取り扱う場合には対象になるため、日本企業にとってもGDPRは大きな影響があります。違反があった場合に巨額の制裁金を科されることもあります。

昨今、データ活用の時代であると盛んに言われます。ビジネスで活用できるデータには様々なものがありますが、「顧客に関するデータ」の活用はその効果が大きく期待されるものです。しかしながら、データの活用はビジネスや経済の発展に役に立つ側面はあるものの、人に関するデータをあまりに自由に利用することは人権に関する問題などを引き起こすことがあります。

以前はこのあたりは規制がなく放任状態になっていたことも多く、例えばインターネットでの個人情報の収拾、個人の特定や追跡は、特に承諾なく行われることがありました。さらには収集した個人情報の組織間での共有が行われていることもあるなど、自由すぎるデータ利用がそのままになっているようなこともありました。

GDPRの目的は、個人データの利活用についてEUに住んでいる人の権利を保護することです。人権が保護されないようなデータの利活用を許容しないという欧州連合による意思表明であり、規則を守らない企業に対して巨額の制裁金が課すなど、実効力をもって企業に適切なデータ利用をさせる規則です。

日本企業にも広く影響がある

EUでの決まりだと聞くと日本企業は関係ないようにも思えます。しかし、欧州に本社がある欧州企業だけでなく、欧州に支社があるなどビジネス活動をする組織、さらには欧州に住んでいる人の個人情報を（間接的にでも）取り扱う場合もGDPRの対象となり、規則を守らなかった場合にはEU当局からの巨額の制裁金を含めた罰則を科される可能性があります。

特に、インターネット経由で何かのサービスやコンテンツを提供している場合、欧州からのアクセスやサービス利用を排除しない場合には、避けがたくGDPR対応は意識せざるを得なくなります。

個人データの定義

日本でも個人情報保護法に関連して、個人情報とはなにかという議論がありました。GDPRでは、写真や氏名など明らかにその個人に関する情報だけではなく、「個人に関係するあらゆる情報」は個人に関するデータだとされます。例えば「どこをどう移動したかの位置情報」は名前や写真のようなものではありませんが、個人に関係する情報であるだけではなく、具体的な個人を特定できる重要なプライバシーを含んでいるデータになります。

インターネット上での活動の場合には、IPアドレスも個人データであり、さらには旧来においてネット広告やウェブ上でのマーケティング活動で広範に用いられていた「Cookie」もGDPRにおける「個人データ」であるということになりました。これによりWeb関係の取り組みの多くが、GDPRによる規制の影響を大きく受けることになりました。Cookieの取得や利用には明示的に許諾を取ることが必要になり、利用ポリシーも明示することが必要になりました。

GDPRにおいて個人データの取得と利用においては、解りやすく明示的にデータ利用の目的と範囲と期間を示した上での、オプトインであることも含む明示的な同意が必要となります。事後に要件を満たす同意を得ていることを証明できる必要もあります。利用期間が過ぎた後にデータ消去するなどの対応、さらにはデータの消去を要求できる権利や、他のシステムにデータを移せる権利などにも対応が必要になります。

罰則

データの取り扱いに問題が起こった場合、72時間以内に監督機関への報告が義務付けられ、不利益がある場合にはその個人に対しても通知をする義務もあります。

また、データ利用の規模が一定以上の場合には、個人データの保護を監督する責任者「データ保護責任者（DPO）」を設けることが義務付けられており、EUに拠点がない組織の場合、EU圏内にGDPR対応の責任者として「EU 担当者」を指名することも義務付けられることがあります。

罰則として罰金が科せられることがあり、最大で「2,000万ユーロ」ないしは「全世界での売上高の4%」（欧州での売上高ではありません）のうち高い方の罰金が科せられることがあります。そのようなことになると、経済的にも社会的にも大きな損失を負うことになります。またこれらの罰則は形式上のものではなく、2019年にGoogleに対して5,000万ユーロ（62億円）の罰金が実際に課された例をはじめ、企業に対して巨額の罰金が科される事例も出てきています。

各国ごとに様々な規制がある

規制が厳しく罰金も科されるということでGDPRが特に注目されていますが、他国にもデータに関する法的な規制が存在します。日本でも個人情報保護法を守らなければいけませんし、アメリカにも法規制があり、州（カルフォルニア州など）によっては個人情報の取り扱いに関する規制が厳しいこともあります。中国やインドなどにも独自の決まりがあり、個人情報以外に安全保障上のデータの取り扱い制限があることもあります。

GDPRのもう一つの目的

各国にそれぞれ法律があり、年々改正されることも考えると対応は大変です。残念ながら世界共通のルールはないのですが、GDPRのもう一つの目的は、欧州各国で違う法律ができてデータに関するビジネス活動が滞ることを防ぐ狙いがあります。欧州においても過去、各国で具体的な規制内容がバラバラになった反省を踏まえ、EU全体で共通のルールとして整備することもGDPRの目的となっています。

ビジネスの制限事項として認識されていることが多いGDPRですが、GDPRを守る体制を作ればEU圏内ではスムーズにデータビジネスができる環境が整えられているとみなすこともできます。

個人情報を取り扱う際に本質的に守るべきことの指針

規則があるから守るか守らないかという以前に、本質的にやってよいことと悪いことがあります。（その時点の）各国の法規制を守っていたとしても、社会通念に照らしてモラルに欠けるような個人情報の取り扱いがなされていたと発覚したら、その企業は信頼を失い社会的な制裁を受けることになるでしょう。企業はデータの取り扱いについても、社会的責任を果たすことが求められています。

しかしながら「悪いことはやらないでおきましょう」という心がけでは対応が難しいこともあるのがデータの取り扱いです。気がつかないままに結果的にシステム上で非常識な処理をしてしまっていた、自分たちが業務を委託していた先でモラルに欠けるデータの取得や利用がなされている場合など、自分たちには悪意がなくても社会からの批判を浴びることもありえます。

GDPRを守っていればなにも事故が起こらないわけではありませんが、GDPRは人権を守ることを優先した取り組みとして知られます。実務的に業務が回らなくなる可能性があり規制が難しいと思える事情があっても、原理原則を優先して権利の保護を優先しているようなところすらあります。そのようなスタンスにあわせて対策することは、自社の個人情報に対する態度を考えるにあたって、参考になりうるところもあるはずです。

データの匿名加工

GDPRに限らず、個人情報の利用と保護のジレンマを解消する手段として、データの匿名加工処理があります。匿名加工をした処理や統計処理の結果は、各国の法律でも規制の対象外になっていることが良くあります。

ただし、匿名加工をしたデータから実質的に個人を再特定できるケースや、統計データから特定個人の情報を推測復元できてしまうような場合は、匿名加工をしていても大丈夫にはなりません。復元しうることを知りながら匿名データを提供したために、それを利用した企業が問題となったケースもあります。

悪意がある場合は論外ですが、匿名加工ツールの能力が不十分なために再特定できてしまうケースも存在します。匿名化や仮名加工を行っただけでは不十分なことがあります。

クレジットカード会社は一社だけではありません。最初、カード会社各社がそれぞれ「安全の基準」の整備をはじめましたが、ITシステムを開発運用する側からすると、各社の基準にそれぞれ別途対応することになり非効率で、それではインターネットでのカード決済利用の普及を妨げてしまいかねませんでした。

データ活用に取り組む場合、このような各国での事情や、どこから取得したデータを、今どこに保存しているか（保存している場所の法律）、そのデータの処理をどこでどのように行うのか、あるいは何をやって良く何をすべきではないのかを考える必要が出てきます。

データ活用とは、データをとりあえず集めて活用すればよいわけではなく、考慮しなければいけないことがあります。GDPRのような法規制のみならず、個人データの保護以外にも当然に考慮すべきことは多々あります。

成果を出すためにどのようなデータが必要であるか、技術的にどのようにデータを置かざるを得ないか、自社で保有するのかしないのか、クラウドに預けるならどのサービスにどのように預けるのか。大災害によるデータ喪失などにどう備えるか、他社と協力している事業でデータをどのように共有するかなど、考えなければいけないことが多々あります。そもそも、データとは社内外のあちこちにバラバラの形式で散在しがちであり、何もしなければGDPR対応どころかデータ活用そのものがおぼつかない状況に陥りかねません。

データを自在に取ってきて活用できる手段はありますか？

データ活用というと、分析機能など処理能力に注目されがちです。しかしながら、多種多様なデータソースに接続してデータを取得し、必要に応じて連携できる「つなぐ」機能の整備がデータ活用では必要になります。これはデータ活用そのものの実現のみならず、GDPRに即したなデータ活用を実現するためにも必要になってきます。

これら連携ニーズに対して自社で開発して整備すると大変なことになりがちで、刻々発生し変化する現場のデータのニーズに素早く対応することも困難になります。

そこでそのような状況に対応ができる手段が存在します。「EAI」や「ETL」と呼ばれるソフトウェア、あるいは「iPaaS」と呼ばれるクラウドサービスです。GUI上で接続先のアイコンを配置して各種設定をするだけで、クラウドからオンプレミスまで、多種多様なデータやシステムに連携をし、データへのアクセスやデータの転送、あるいはデータを用いた処理やデータの加工などを行うことができます。

• EAI
  • -システム間をデータ連携して「つなぐ」考え方で、様々なデータやシステムを自在につなぐ手段です。IT利活用をうまく進める考え方として、クラウド時代になるずっと前から、活躍してきた考え方です。
• ETL
  • -昨今盛んに取り組まれているデータ活用の取り組みでは、データの分析作業そのものではなく、オンプレミスからクラウドまで、あちこちに散在するデータを集めてくる作業や前処理が実作業の大半を占めます。そのような処理を効率的に実現する手段です。
• iPaaS
  • -様々なクラウドを外部のシステムやデータと、GUI上での操作だけで「つなぐ」クラウドサービスのこと。
• SaaS
  • -一般的に「クラウド」と言ったときにイメージされる、ソフトウェアの利用をサービスとして提供する取り組みのこと。

オンプレミスにあるITシステムからクラウドサービスまで、様々なデータやシステムを自在に連携し、IT利活用をうまく成功させる製品を実際に試してみてください。

当社で開発販売しているデータ連携ツール「DataSpider」は長年の実績がある「つなぐ」ツールです。データ連携プラットフォーム「HULFT Square」はDataSpiderの技術を用いて開発された「つなぐ」クラウドサービスです。

通常のプログラミングのようにコードを書くこと無くGUIだけ（ノーコード）で開発できるので、自社のビジネスをよく理解している業務の現場が自ら活用に取り組めることも特徴です。

DataSpider / HULFT Squareの「つなぐ」技術を試してみてください：

簡易な連携ツールならば世の中に多くありますが、GUIだけで利用でき、プログラマではなくても十分に使える使いやすさをもちつつ、「高い開発生産性」「業務の基盤（プロフェッショナルユース）を担えるだけの本格的な性能」を備えています。

IT利活用の成功を妨げている「バラバラになったシステムやデータをつなぐ」問題をスムーズに解決することができます。無料体験版や、無償で実際使ってみることができるオンラインセミナーも開催しておりますので、ぜひ一度お試しいただけますと幸いです。

 

「HULFT Square」で貴社のビジネスが変えられるか「PoC」をしてみませんか：

貴社のビジネスで「つなぐ」がどう活用できるのか、データ連携を用いた課題解決の実現可能性や得られる効果検証を行ってみませんか？

• SaaSとのデータ連携を自動化したいが、その実現可能性を確認したい
• データ利活用に向けて進めたいがシステム連携に課題がある
• DXの実現に向けてデータ連携基盤の検討をしたい