「欧州一般データ保護規則」…韓国企業に罰金爆弾の危機


10年以上もヨーロッパの会社に部品を納品する中小企業のA社は、昨年初めからパートナー社から「取引時に交換される情報に関連して、欧州一般データ保護規則(GDPR/EU General Data Protection Regulation)を遵守てほしい」という電子メールを受け続けている。A社の代表は「最初はGDPRが何であるかをも知らなかったのでインターネットで検索をしてみたが、中小ベンチャー企業部とKOTRAや韓国インターネット振興院(KISA)を訪問して尋ねるなどで数ヶ月を浪費した」とし、「しかし率直に言って今も何をしなければならないのか、私たちは規定をきちんと守っているのか、本当に分からない」と言う。

自動車に内蔵される機器を作るB社もまた、GDPRの施行後に困難を経験している。周期的なアップデートと位置情報の収集が不可欠な製品であることからGDPRの対象に入るが、韓国が適正性認定されていないことから欧州との自由なデータ交換が難しいからだ。

自主的に当局の承認を得ようとしても、コストの問題でシステムの整備は遅れている。義務化された指定も容易ではない。 B社の関係者は、「欧州現地で個人情報保護の責任者(DPO)を採用しようとしたが、業務の負担にみんな避けている状況だ」と訴えた。

2018年5月から施行されたGDPRによって、国内企業に赤信号が灯った。大企業はなんとかグローバルな大手法律事務所に問い合わせることもできるが、中小企業は法律違反時に賦課される天文学的な金額の課徴金のために、そもそも海外事業からの撤退までを考慮する状況だ。 KOTRAによると欧州に直接進出したり個人情報を扱っており、GDPRに足首をつかまれた国内企業はすぐに700社に達したが、欧州連合(EU)側が規定を幅広く適用する場合には適用される企業は数千社にいたるだろうと専門家は見ている。

世界で最も強力な個人情報保護の規制を持っていると評価される韓国で、なぜこのようなことが発生したのだろうか。

その理由は、韓国の個人情報保護法上の個人情報保護委員会などの関連規定はグローバルスタンダードに合わないとEUが判定したからだ。 EUはデータの自由な取引きを可能にするために、相手国の個人情報保護水準が自分たちと実質的に同等である「適正」判定を受けた国の企業や機関に対しては、別途の同意過程がなくても個人情報の自由な域外移転が可能だという規定を持っている。

去る3月の時点で13カ国が適正認証を受けた。業界の関係者は、「政府が代表で一度だけ受け取れば終わる認証を、個々の企業がかってにやれという式に放置されている」と述べた。
  • 毎日経済_シン・チャノク記者/オ・デソク記者 | (C) mk.co.kr
  • 入力 2019-06-12 18:06:41.0