ストラテジ系

新しいデジタル規制 — GDPR・AI規制・データ国境を越える

導入

ヨーロッパでネットショッピングをするとき、「クッキーを許可しますか?」という確認画面が必ず表示されるのを見たことはないでしょうか。これはGDPRという厳格な個人情報保護法の影響です。デジタル規制は今や国境を越えてビジネスに影響を与えています。

なぜ重要か

ITパスポートのストラテジ系分野では、法律・規制に関する出題が増加傾向にあります。特にGDPRは「域外適用」という特徴から、日本企業にとっても他人事ではない規制として繰り返し出題されています。

またAIの普及にともない、EUのAI法や日本のAI戦略など新しい規制の枠組みも試験範囲に加わりつつあります。「どの規制がどの対象に適用されるか」「違反した場合のリスクは何か」という観点は、ITシステムの企画・開発・運用に関わるすべての職種で必要な知識になっています。個人情報保護法の改正やGDPRの理解は、データを扱うすべてのビジネスパーソンにとって基礎教養といえるでしょう。

くわしく知ろう

GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EU域内の個人データを保護するための規制です。最大の特徴は「域外適用」であり、EU在住者のデータを扱う企業であれば、EU域外の日本企業にも適用されます。違反した場合は売上高の4%または2,000万ユーロのいずれか高い方を上限とする高額な制裁金が課される可能性があります。GDPRではデータの収集・利用には本人の同意が必要であり、Cookie等のトラッキング技術も規制対象となっています。

次に注目されているのがEUのAI法(AI Act)です。AIシステムをリスクレベルに応じて「許容不可(禁止)」「高リスク」「限定リスク」「最小リスク」の4段階に分類し、高リスクなAIには事前の適合性評価や透明性の確保を義務づけます。顔認識システムや採用・融資審査に使うAIなどが高リスクカテゴリに該当します。

データローカライゼーション(データ国内保存義務)とは、特定の国の個人データをその国のサーバーに保存することを義務づける規制を指します。ロシアや中国など一部の国で導入されており、グローバルなクラウドサービスの運用に影響を与えています。

日本国内では個人情報保護法の改正が繰り返されており、GDPRの考え方を取り入れた形で個人データの越境移転規制も強化されています。

具体例で理解する

GDPRでは、ユーザーの同意なしにトラッキングCookieを設置することが禁止されています。そのためEU向けのウェブサイトでは、ページを開くとCookie同意ポップアップが表示されるのが一般的になっています。また採用選考でAIを使ってエントリーシートを自動スクリーニングするシステムはEUのAI法では高リスクに分類され、透明性の確保や人間によるレビューが求められます。

試験での出題パターン

【パターン1:GDPRの適用範囲を問う問題】

「GDPR(EU一般データ保護規則)の適用対象として正しいものはどれか」という設問で、「EU域内の企業のみ」という選択肢が誤答として設定されることがあります。GDPRはEU在住者のデータを扱うあらゆる企業に適用されるため、「日本企業もEUのユーザーを対象とするサービスを提供する場合は対象」という理解が重要です。

【パターン2:データローカライゼーションとGDPRの区別】

「個人データを自国のサーバーに保存することを義務づける規制はどれか」という問いに対して、GDPRとデータローカライゼーションを混同しやすいので注意が必要です。GDPRは個人データ保護の包括的な規制であり、データを自国内に置くことを原則とするのはデータローカライゼーションです。

【パターン3:AI法のリスク分類を問う問題】

「顔認識AIや採用選考AIに課される義務は何か」という形式で、EUのAI法の高リスクカテゴリと要件が問われます。高リスクAIには「事前の適合性評価」「透明性の確保」「人間による監督」が義務づけられる点を押さえておきましょう。

よくある間違い・紛らわしいポイント

【GDPRは「EU企業だけ」に適用されるという誤解】

GDPRが最も誤解されやすいポイントです。「EU域内に拠点がある企業だけが対象」と思いがちですが、EU在住者の個人データを処理するすべての企業が対象です。日本のECサイトがEU在住者に商品を販売する場合も対象になり得ます。「データの処理者がどこにいるか」ではなく「データの主体(個人)がどこにいるか」で適用が決まります。

【GDPRとデータローカライゼーションの混同】

GDPRは個人データの「扱い方(収集・利用・同意)」を規制するもの、データローカライゼーションは個人データの「保存場所(自国内サーバー)」を規制するものです。目的と対象が異なるため、問題文のキーワードを確認して区別しましょう。

【AI法のリスク分類の誤解】

EUのAI法では「高リスク=危険で使用禁止」ではなく「高リスク=厳格な審査と透明性の確保が必要」という意味です。「許容不可」カテゴリのみが実質的な禁止に相当します。採用・融資・医療診断支援などのAIは使用禁止ではなく、適切な管理のもとで利用できる点を正確に理解しておきましょう。

まとめ・試験ポイント

  • GDPR=EUの個人データ保護規制、EU在住者のデータを扱う域外企業にも適用
  • EUのAI法=AIをリスクレベル4段階に分類し、高リスクには審査・透明性確保を義務化
  • データローカライゼーション=個人データを自国内サーバーに保存する義務(GDPRとは別概念)
  • GDPR違反には売上高の4%等を上限とする高額な制裁金リスク
  • 日本の個人情報保護法もGDPRを参考に改正が繰り返されている
  • 試験ではGDPRの域外適用範囲・データローカライゼーションとの区別が頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する