目次
2018年5月25日に施行されたGDPR(EU一般データ保護規則)。EU(ヨーロッパ連合)加盟国における「個人情報保護」に関する新たな取り組みとして注目を集めています。
ニュースメディアでもたびたび取り上げられたため、Webに関わる方はもちろん、それ以外の方も耳にする機会は多かったと思います。
しかし、これだけ注目を集めておきながら、内容を理解して具体的な対応ができている企業はあまりありません。多くの人が「EUのことだから関係ない」と思っているのが現状です。
GDPRはEU加盟国のみを対象にしたものではありません。場合によっては日本企業も法規制の対象になるため、内容を理解し、必要に応じて対応策を考える必要があります。
そこで今回は、「GDPRに対応するうえで注意すべきポイント」をテーマにお送りします。
GDPR(EU一般データ保護規則)とは?
GDPRとは、「General Data Protection Regulation」の略であり、「EU一般データ保護規則」を意味します。
もともと、「EUデータ保護指令」という個人情報保護の規制が1995年に策定されていました。しかし、インターネット技術の進化をはじめ、様々な要因により、これまで以上に個人データやプライバシーを厳格に保護することを目的に策定されました。
日本における「個人情報保護法」と同じようなものだと考えると、わかりやすいと思います。
具体的には、個人データを処理したり、データをEEA(EU加盟国にリヒテンシュタイン、アイスランド、ノルウェーを加えた「ヨーロッパ経済領域」)の外に移動させたりする際の取り決めについて定めています。
個人データの漏洩、不正利用などを防ぐための規則です。
たとえば、企業が個人データを取得する際には、必ずデータの持ち主である個人の了解・同意を得なければならないとされています。
また、「個人データの管理者以外がデータを閲覧できないよう制限をかけなければならない」「ユーザー自身が登録した自分の個人データを自由に閲覧・編集できるようにしなければならない」というのもGCPRに定められている事項です。
「EUデータ保護指令」と「GDPR」の違い
1995年に策定されていたEUデータ保護指令と、2018年に施行された「GDPR」は何が違うのでしょうか?
細かな違いはたくさんありますが、大きな違いは「法律であること」と「EU域外も対象範囲であること」の2つが挙げられます。
GDPRは「法律」である
EUデータ保護指令は法律ではなく「指令」です。そのため、「個人情報を保護するための具体的なルールを定めました」というものではなく、「個人情報保護の対策をしなさい」というだけのものです。
そのため、企業や団体によって、どのように対策するかはバラバラでした。
しかし、GDPRはEU加盟国に統一された「法律」です。そのため、個人情報の定義や保護方法などのルールが細かく決められています。
GDPRは全世界の企業、団体が対象である
また、EUデータ保護指令は、EU域に本社や事業所を構えている企業・団体を対象とした指令でした。つまり、EU域と取引をしている他国の企業は対象外だったのです。
一方、GDPRはEU域に本社や事業所があるかどうかではなく、「EU域の個人情報を取り扱っている場合」はすべて対象になります。
そのため、次のような場合でも、GDPRの規制対象となります。
- EU加盟国内に支店などを置いている
- EU加盟国から個人データの処理を委託されている
- EU加盟国に自社の商品・サービスを提供している
- EU加盟国のユーザーからの問合せやアクセスある
国内で何度もGDPRが取り上げられていたのも、EU加盟国のユーザーに商品・サービスを提供しているEC企業などが適用対象になるためです。
また、EU域のユーザーが問い合わせフォームを送信した場合、その情報はGDPRの規制を満たす管理をしなければなりません。たとえEU域で取引がなくても、EU域に住む日本人が問い合わせてくることは十分に考えられるため、注意が必要です。
こうした理由から、EU域で事業を行っている・いないにかかわらず、最低限のGDPR対策を講じることをおすすめします。
GDPRを理解するために押さえておきたいポイント
規則に反した場合の制裁金が高額
EU域の個人情報を取得しているにもかかわらず個人情報保護の対策を講じていない場合、規則違反として以下の罰金を課されます。
罰金① データ管理者の義務違反などの軽度の違反
1000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の2%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする
引用:GDPR第83条 4項
軽度な違反の場合、前会計年度の全世界年間売上高の2%が罰金として科せられます。罰金額が1,000万ユーロ(約13億円)以上の場合は、1,000万ユーロが罰金となります。
罰金② 基本原則などの重度の違反
2000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする
引用:GDPR第83条 5項
「本人の同意を得る」といったGDPRの基本原則に違反した場合、前会計年度の全世界年間売上高の4%が罰金として科せられます。罰金額が2,000万ユーロ(約26億円)より高い場合、2,000万ユーロが罰金となります。
比較になるように、日本の「個人情報保護法」の罰則を見てみましょう。
個人情報取扱事業者またはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処することとされています。
引用:BUSINESS LAWYERS
「第三者の不正な利益を図る目的で提供し、または盗用したとき」という非常に悪質な違反でも50万円の罰金ですが、GDPRは「同意なく個人情報を取得した」だけで26億円もの罰金になります。
EUの個人情報に対する意識の高さがうかがえます。
現状を把握することを最優先
GDPRの規則に引っかからないためには、自社が取り扱う個人データについて、詳しく把握することが何よりも大切です。
EEA内に拠点を置いている企業、EU加盟国と商品を取引することがあるEC企業は特に要注意です。現状把握や対策を怠っていると知らぬ間に規則違反をしているおそれがあります。
なお、GDPRの個人データの定義は次のようにされています。
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
引用:GDPR第4条
わかりやすく言うと、「単独で個人を識別できる情報」または「他の情報を照らし合わせることで個人を識別できる情報」ということです。
特に注意すべき点は、cookie、IPアドレスといった「オンライン識別子」も個人データに含まれるということです。これらは日本の個人情報保護法における個人データの対象ではないため、うっかり見落としがちです。また、これらはアクセス解析ツールを導入していれば、ユーザーがアクセスした時点で取得できてしまう情報なので、自社のサイトもすでにGDPRの対象である可能性があります。
管理している個人データを確認する際は、オンライン識別子にも目を向けることを忘れないようにしましょう。
規則違反をしないための対策
最後に、最も意識すべき肝心の対応策について紹介します。GDPRは非常に厳格な規則ですが、きちんと理解し対策すれば、違反リスクが下がることはもちろん、ユーザーの信頼感を獲得し、事業を成長させるきっかけにもなります。
EU域で事業をされている場合は、すでに弁護士やセキュリティの専門家などを交えて対策を行っているでしょう。
しかし、EUとかかわりの少ない企業が専門家起用して対策することは簡単ではありません。そのため、大切なことは「GDPRの基本を理解しておくこと」です。
GDPRの基本とは、「個人データの主権は個人にある」「公正性・透明性を原則とする」ということです。細かなルールが定められているとはいえ、基本はこの2つしかありません。
データ保護に関する専門知識がある人物に個人データの管理を一任できれば最適ですが、社内で個人情報に対する意識の再教育や基本知識の周知、Webサイトやシステムのセキュリティ対策の強化といったことができれば十分です。
GDPRに詳しいビジネスリスクコンサルティング本部副本部長 鎌田博貴氏は次のように語っています。
「個人データについて何をやるかを正直に説明せよ」の一言で済ませることさえできます。GDPRを順守することは、顧客との関係を大切にして誠実にビジネスを行うということ。つまり、顧客を大切にする企業イメージをつくる絶好のチャンスともいえるのです。
引用:ITmediaNEWS
まとめ
今回は2018年に大きく取り上げられた「GDPR(EU一般データ保護規則)」について、紹介しました。
ビジネスのグローバル化が進む中、海外の法令や規則の見落としは致命的なリスクにつながります。特にGDPRの場合、「知らないうちに規則違反になっている可能性がある」という点は要注意です。
また、東京オリンピックや大阪万博などのグローバルイベントによって、国内サイトの外国人アクセス数も増加し、対策を迫られることになるでしょう。
リスクを軽減するためにも、ぜひ参考にしていただければと思います。
とはいえ、GDPRをはじめ、各国の法令や規則を恐れる必要はありません。どれも企業とユーザーの関係をより良いものにするために施行されています。
個人情報への関心はこれからもさらに高まります。技術が進歩し、できることが増えたからこそ、誠実で透明なビジネスが求められています。