GDPRとは?今すぐ対応すべき企業と最低限実施すべき5つの対策

GDPR対応

GDPRはEUで2018年5月より施行された、個人情報保護に関する規則のことです。EU圏の企業だけではなく、一部の日本企業もGDPRの対象になるため、対応が必要になります。

規則に違反した場合は制裁金の支払いを命じられます。制裁金は最低でも1,000万ユーロ(約14億円)で、企業規模などは考慮されないため、早急な対応が必要です。

GDPRの対応としては以下のようなものが求められています。

  • 個人データの取り扱い状況の確認
  • データ処理における適法化根拠の決定
  • プライバシーポリシーの改定
  • 個人データ取得における同意の獲得
  • インシデントフローの構築

本記事ではGDPRの概要について説明したうえで、GDPRの対象となる企業、違反した場合の罰則、具体的な対応方法について解説します。

この記事を読めばGDPRの基礎や「GDPRに対応すべきなのか」「どのような対応が求められているのか」がわかります。


GDPRとは、ECの経済領域で定められた個人情報に関する規則・法律

GDPR(General Data Protection Regulation)とは、EU圏の個人情報保護を目的に2018年5月より施行された、個人データの「処理」と「移転」に関する規則のことを指します。

簡単に説明すると「EU圏の個人データを個人の許可なく保存・利用した場合は罰則が課せられる」という規則です。

参考:GDPR |個人情報保護委員会

GDPRにおける個人情報・個人データの定義

GDPRにおける個人データは「識別された、あるいは識別されうる自然人に関するすべての情報」と定義されています。

具体的な例としては以下のようなものが挙げられます。

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、Cookie)
  • 身体的、生物学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

GDPRの保護の対象

個人データの範囲は「EU加盟国及び欧州経済領域(EEA)域内に所在する個人」で、国籍や居住地などは問いません。そのため、短期旅行や出向などで滞在している個人のデータも保護の対象となります。

参考:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)│日本貿易振興機構(ジェトロ)


ECに関連する企業・ECのユーザーと取引がある日本企業もGDPRの対象

GDPRは、EU圏のユーザーの個人データを取り扱う企業は対応が必要です。

以下の項目に当てはまる場合は早急にGDPRの対応が必要になります。

  • EU圏内に拠点(本社だけでなく子会社や支部)を置く企業のサイト
  • EU圏内に所在する個人に対して商品・サービスを提供している企業
  • EU圏内のユーザーからアクセスがあるサイト
  • EU圏内に所在する個人の行動監視・モニタリングを行っている企業
  • EU圏内の個人のデータ処理(メールアドレスの収集、クレジットカード情報の保管、IPアドレスやCookie等のオンライン識別子の保存)を行っている企業
  • Googleアナリティクスや広告タグを利用しており、かつEU圏からのアクセスがある企業

GDPRに違反した場合の罰則

GDPRに違反した場合、義務違反のケースに応じて以下のような制裁が課されます。

  • 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
  • 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方

引用:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)│日本貿易振興機構(ジェトロ)

事業規模に関わらず、最低でも1,000万ユーロ(日本円にして約14億円)の制裁金が課されるため、経営が困難になる自体に陥る可能性もあります。対象となる可能性がある場合、早急な対応が必要です。


GDPRに違反した企業事例

ここではGDPRに違反し、制裁金の支払いが求められた企業事例をご紹介します。

情報収集に不備で62億円の制裁金:グーグルの事例

フランスのデータ保護機関「情報処理と自由に関する国家委員会」(CNIL)は、米グーグルに対し、GDPR違反として約62億円の制裁金を命じました。

この事例は、企業に対して適切な同意と明確な情報提供の重要性を改めて示しました。また、他のIT企業にも同様の制裁事例が続く可能性があり、特に日本企業も含めて対応が求められることが示唆されています。

問題となった点

  • グーグルは、個人情報の利用目的をユーザーに明確に説明しなかった
  • グーグルのサービスは、個人情報の利用目的などの説明ページが分散しており、ユーザーが簡単に探せない状況だった
  • 位置情報の収集法を知るために、複数回の操作が必要だった
  • アカウント作成時に一括して利用規約への同意を取得していたが、利用目的別に明確に同意を取る必要があった
  • ターゲティング広告の配信に個人情報が使われることに対するオプション設定が煩雑だった

具体的な制裁内容

  • グーグルに対し、5,000万ユーロ(約62億円)の制裁金支払い命令
  • GDPR違反の制裁金は最大で売上高の4%まで定められているが、今回の制裁額は約62億円
  • グーグル親会社アルファベットの2017年の売上高約12兆円と比較すると軽微な額

参考:GDPR違反によるGoogle制裁の内容とは?制裁以降の動向について

広告表示に関する違反で970億円の制裁金:アマゾンの事例

米アマゾン・ドット・コムは、消費者への広告表示をめぐり、欧州連合(EU)の一般データ保護規則(GDPR)に違反したとして、約970億円の罰金を科されました。

アマゾンは、GDPR違反として過去最大の罰金を科された米IT大手企業です。この事例は、企業に対して消費者への広告表示方法や個人情報保護の重要性を再認識させるものとなりました。また、他のIT企業にも同様の制裁事例が続く可能性があり、特に日本企業も含めて対応が求められます。

問題となった点

  • 消費者に適切な広告を表示する方法に問題があったとされる
  • ルクセンブルクのプライバシー規制当局(CNPD)が商慣行の見直しを求めている
  • 違法行為の詳細は「消費者に適切な広告を表示する方法」とのみ説明されている

具体的な制裁内容

  • GDPR違反により、7億4600万ユーロ(約970億円)の罰金が科された
  • 罰金額はアマゾンの2020年12月期通期売上高の0.2%、最終利益の4.2%に相当

参考:欧州当局、Amazonに罰金970億円 GDPR違反で過去最大

情報漏洩で900万円の制裁金:NTTデータのスペイン子会社の事例

NTTデータのスペイン子会社が、欧州連合(EU)の一般データ保護規則(GDPR)に違反したとして、6万4000ユーロ(約900万円)の制裁金を科されました。

NTTデータスペインの事例は、日本企業にとってGDPR違反が対岸の火事ではなく、対応の遅れが重大な結果を招く可能性があることを示しています。親会社のNTTデータは、グループ全体でセキュリティー対策の徹底を図る意向を示しており、同様の事象を起こさないように努めています。また、GDPR施行後、基本的な対策がなされていない企業がまだ多く存在することが指摘されており、日本企業も適切な対応が求められます。

問題となった点

  • NTTデータスペイン(旧エヴェリス)が提供した顧客管理システムを使用している保険会社が2021年8月に顧客情報を漏洩。
  • スペインのデータ保護庁(AEPD)が調査を行い、NTTデータスペインにも過失があったと判断。
  • AEPDはNTTデータスペインに対して2つのGDPR違反を指摘:
    • 個人データの「完全性及び機密性」の保護に関するGDPR第5条第1(f)項違反。
    • 適切な技術的措置が実施されていなかったこと。

具体的な制裁内容

  • 6万4000ユーロ(約900万円)の制裁金
  • 個人データの「完全性及び機密性」に関する違反に対して5万ユーロが科された

参考:NTTデータの海外子会社がGDPR違反で制裁金、ついに日系IT企業が摘発対象に


最低限実施すべきGDPRへの対応項目

EEAが商圏にある企業や、EEA圏内のユーザーの個人データを取り扱っている企業は早急にGDPRへの対応を進めていく必要があります。

GDPRに対応する一例としては以下のようなものが挙げられます。

  • 個人データの取り扱い状況の確認
  • データ処理における適法化根拠の決定
  • プライバシーポリシーの改定
  • 個人データ取得における同意の獲得
  • インシデントフローの構築

個人データの取り扱い状況の確認

現時点の個人データの取り扱いを確認することが先決です。自社がどのような個人データを扱っているかを整理することから始めましょう。

現状の把握において、以下の項目を必ず確認しましょう

  • データの種類
  • データ収集・使用の目的
  • データの保存場所
  • データの入手方法
  • データの入手経路

データ処理における適法化根拠の決定

GDPRでは違法にデータの処理をすることを問題視しているので、データ処理が適法となる「根拠」の決定が必要です。

GDPRが定める適法根拠としては以下の6つが上げられます。

  • データの主体(ユーザー)の同意
  • 契約の履行
  • 法的義務の遵守
  • 生命に関する利益の保護
  • 公共の利益
  • 正当な利益

参考:GDPRにおける6つの適法根拠について│株式会社マネジメントオフィスいまむら

プライバシーポリシーの改定

プライバシーポリシーをGDPRに対応するよう改定します。

プライバシーポリシーはサイト訪問者から収集した個人データの取り扱いについて方針をまとめたものです。

GDPRへの対応を目的とした場合、以下のような項目を明示する必要があります。

  • 個人データの利用目的
  • データ処理の適法性の根拠
  • 保存期間
  • 取得する個人データの種類・項目
  • 情報収集の方法
  • ユーザーの権利(請求・削除の権利)
  • 管理者の連絡先

個人データ取得における同意の獲得

個人データの収集にあたって、ユーザーからの同意(オプトイン)が必要です。

ポップアップなどを用いてCookieの使用の同意をとりましょう。Webサイトを開いた時に説明文とともに「Cookieに同意しますか」と表示され、選択式で同意・拒否を選べる仕組みです。

Cookie同意を実装するにあたり、以下の3点に注意しましょう。

  • Cookie同意を得る前にCookieを付与しない
  • ユーザー自身がCookie同意を選択できる仕組みを構築する
  • 同意の撤回ができる旨を説明する

参考:【総まとめ】Cookie規制の影響とマーケティングにおける対策│LISKUL

インシデントフローの構築

インシデントの発覚・報告に対する社内フローの構築・整備を欠かさず行ってください。

GDPRでは個人データに関する問題が発覚した際は、72時間以内に監督機関へ報告するよう義務付けられています。(報告先は「

72時間を超えたあとでの報告だと罰則が科せられるため、インシデントの発見・報告のフロー構築が非常に重要です。


まとめ

GDPRはEU圏の個人情報を取り扱う場合に適用される法律です。EU圏のユーザーとビジネス上でやりとりのある企業は適用の対象となります。

EU圏の個人データを個人の許可なく保存・利用した場合、最低でも1,000万ユーロ(約14億円)の制裁金が科されるので、早急な対応が必要です。

GDPRの対応範囲は複雑で範囲も広いのですが、最低限以下の5つの項目には対応するようにしましょう。

  • 個人データの取り扱い状況の確認
  • データ処理における適法化根拠の決定
  • プライバシーポリシーの改定
  • 個人データ取得における同意の獲得
  • インシデントフローの構築

コメント