「Brexit」が企業のデータ管理に及ぼす影響

他方、サイバーセキュリティに関しては、「改正EU域内セキュリティ戦略」および「ネットワーク情報セキュリティ（NIC）指令」（通称：EUサイバーセキュリティ指令）を共通のミニマムスタンダードとして、EUの専門組織である欧州ネットワーク情報セキュリティ庁（ENISA）の元で、加盟国毎に態勢構築を進めるというのがEUの基本方針である。

とりわけ、重要インフラ事業者（金融、運輸、電力、保健医療）やオンラインサービス提供者（eコマースプラットフォーム、オンライン決済、クラウド事業者、検索エンジン、SNS）に該当する企業に対しては、リスクベースのマネジメントアプローチや、基幹サービスのインシデント報告などが要求事項になる。

EUを標的にしたテロやサイバー攻撃が急増する中、重要インフラに関わる海外企業にとっては、北米地域と同等レベルのサイバーセキュリティインシデント対応・情報共有組織を整備することが、今後の事業継続の前提条件となるだろう。

EUサイバーセキュリティ指令は、2016年8月に適用開始となり、その21ヵ月後の2018年5月までに、英国を含む各加盟国が、指令に準拠した国内法を整備することになっている。従って、EU個人データ保護規則が適用開始となり、各加盟国の国内サイバーセキュリティ関連法整備が完了する2018年5月以降に、英国がEUから正式に離脱することになる。

英国内を統括拠点として、EU域内でビジネスを展開する企業は、個人データ保護対策に加えてサイバーセキュリティ対策の観点からも、「Brexit」によって発生し得るリスク・影響を分析した上で、アイデンティティ認証／権限付与、アクセス制御、データストレージ管理、インシデント対応などの具体的対策の見直しを行う必要がある。

サイバーセキュリティの場合、北欧諸国のように、国防省傘下の組織が所管する国も含まれているので、EU域外となった後の英国の安全保障政策や北大西洋条約機構（NATO）の動向なども加味した分析が求められる。

加えてEUの場合、金融、環境・エネルギー、自動車、ライフサイエンスなど、ワンストップショップ制度を推進してきた業種・業界が多い。図1は、ライフサイエンス分野におけるEUおよび加盟国の主要ルールの関係（2018年時点の想定例）を整理したものだ。

ライフサイエンス分野のうち、医薬品産業では、EUの専門機関である欧州医薬品庁（EMA：European Medicines Agency）が、「人用および動物用薬品の認可手続きと監視、並びに医薬品庁の設立に関する規則」に代表される域内統一ルールやその他の医薬品関連EU指令に準拠しながら、国境を越えて流通する医薬品の承認審査業務を担ってきた。EMAの本部は英国ロンドンに置かれている。

他方、医療機器産業では、EU共通のミニマムスタンダードである「医療機器指令（MDD）」、「体外診断用医療機器指令（IVDD）」、「能動埋め込み型医療機器指令（AIMD）」などに準拠したCEマーキング認証制度をベースに、各加盟国の規制当局が医療機器の承認審査業務を担ってきた。

なお、臨床試験プロセスについては、医薬品、医療機器とも、2001年に導入された「臨床試験指令（CTD：Clinical Trial Directive）」をミニマムスタンダードとするデータ品質管理やプライバシー保護の体制構築が求められてきたが、各加盟国の規制当局の裁量に委ねられる部分もあった。そこで、EUは、CTDを「臨床試験規則（CTR：Clinical Trials Regulation）」に格上げし、域内統一基準とする作業を進めている。現段階では、2018年中にCTRが適用開始となる見通しだ。

このようなタイミングの2018年に前後する形で、EMA本部のある英国が、EU離脱に向けた作業を進めるとなれば、欧州のライフサイエンス産業全体に及ぶ影響が増幅される可能性がある。

英国のEU離脱が、「プライバシー」×「サイバーセキュリティ」×「業界規制」のリスクにもたらすインパクトは、同様にワンストップショップ制度を前提とする金融、環境・エネルギー、自動車などの業界にとっても、対岸の火事ではない。データ管理を担う企業のIT部門も、業種・業界の枠を越えた情報共有が求められる。