• その他
  • 最終更新日:2023.2.10

GDPRとは?今すぐ対応すべき企業と最低限実施すべき5つの対策

GDPR対応

GDPRはEUで2018年5月より施行された、個人情報保護に関する規則のことです。EU圏の企業だけではなく、一部の日本企業もGDPRの対象になるため、対応が必要になります。

規則に違反した場合は制裁金の支払いを命じられます。制裁金は最低でも1,000万ユーロ(約14億円)で、企業規模などは考慮されないため、早急な対応が必要です。

GDPRの対応としては以下のようなものが求められています。

  • 個人データの取り扱い状況の確認
  • データ処理における適法化根拠の決定
  • プライバシーポリシーの改定
  • 個人データ取得における同意の獲得
  • インシデントフローの構築

本記事ではGDPRの概要について説明したうえで、GDPRの対象となる企業、違反した場合の罰則、具体的な対応方法について解説します。

この記事を読めばGDPRの基礎や「GDPRに対応すべきなのか」「どのような対応が求められているのか」がわかります。


GDPRとは、ECの経済領域で定められた個人情報に関する規則・法律

GDPR(General Data Protection Regulation)とは、EU圏の個人情報保護を目的に2018年5月より施行された、個人データの「処理」と「移転」に関する規則のことを指します。

簡単に説明すると「EU圏の個人データを個人の許可なく保存・利用した場合は罰則が課せられる」という規則です。

参考:GDPR |個人情報保護委員会

GDPRにおける個人情報・個人データの定義

GDPRにおける個人データは「識別された、あるいは識別されうる自然人に関するすべての情報」と定義されています。

具体的な例としては以下のようなものが挙げられます。

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、Cookie)
  • 身体的、生物学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

GDPRの保護の対象

個人データの範囲は「EU加盟国及び欧州経済領域(EEA)域内に所在する個人」で、国籍や居住地などは問いません。そのため、短期旅行や出向などで滞在している個人のデータも保護の対象となります。

参考:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)│日本貿易振興機構(ジェトロ)


ECに関連する企業・ECのユーザーと取引がある日本企業もGDPRの対象

GDPRは、EU圏のユーザーの個人データを取り扱う企業は対応が必要です。

以下の項目に当てはまる場合は早急にGDPRの対応が必要になります。

  • EU圏内に拠点(本社だけでなく子会社や支部)を置く企業のサイト
  • EU圏内に所在する個人に対して商品・サービスを提供している企業
  • EU圏内のユーザーからアクセスがあるサイト
  • EU圏内に所在する個人の行動監視・モニタリングを行っている企業
  • EU圏内の個人のデータ処理(メールアドレスの収集、クレジットカード情報の保管、IPアドレスやCookie等のオンライン識別子の保存)を行っている企業
  • Googleアナリティクスや広告タグを利用しており、かつEU圏からのアクセスがある企業

GDPRに違反した場合の罰則

GDPRに違反した場合、義務違反のケースに応じて以下のような制裁が課されます。

  • 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
  • 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方

引用:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)│日本貿易振興機構(ジェトロ)

事業規模に関わらず、最低でも1,000万ユーロ(日本円にして約14億円)の制裁金が課されるため、経営が困難になる自体に陥る可能性もあります。対象となる可能性がある場合、早急な対応が必要です。


最低限実施すべきGDPRへの対応項目

EEAが商圏にある企業や、EEA圏内のユーザーの個人データを取り扱っている企業は早急にGDPRへの対応を進めていく必要があります。

GDPRに対応する一例としては以下のようなものが挙げられます。

  • 個人データの取り扱い状況の確認
  • データ処理における適法化根拠の決定
  • プライバシーポリシーの改定
  • 個人データ取得における同意の獲得
  • インシデントフローの構築

個人データの取り扱い状況の確認

現時点の個人データの取り扱いを確認することが先決です。自社がどのような個人データを扱っているかを整理することから始めましょう。

現状の把握において、以下の項目を必ず確認しましょう

  • データの種類
  • データ収集・使用の目的
  • データの保存場所
  • データの入手方法
  • データの入手経路

データ処理における適法化根拠の決定

GDPRでは違法にデータの処理をすることを問題視しているので、データ処理が適法となる「根拠」の決定が必要です。

GDPRが定める適法根拠としては以下の6つが上げられます。

  • データの主体(ユーザー)の同意
  • 契約の履行
  • 法的義務の遵守
  • 生命に関する利益の保護
  • 公共の利益
  • 正当な利益

参考:GDPRにおける6つの適法根拠について│株式会社マネジメントオフィスいまむら

プライバシーポリシーの改定

プライバシーポリシーをGDPRに対応するよう改定します。

プライバシーポリシーはサイト訪問者から収集した個人データの取り扱いについて方針をまとめたものです。

GDPRへの対応を目的とした場合、以下のような項目を明示する必要があります。

  • 個人データの利用目的
  • データ処理の適法性の根拠
  • 保存期間
  • 取得する個人データの種類・項目
  • 情報収集の方法
  • ユーザーの権利(請求・削除の権利)
  • 管理者の連絡先

個人データ取得における同意の獲得

個人データの収集にあたって、ユーザーからの同意(オプトイン)が必要です。

ポップアップなどを用いてCookieの使用の同意をとりましょう。Webサイトを開いた時に説明文とともに「Cookieに同意しますか」と表示され、選択式で同意・拒否を選べる仕組みです。

Cookie同意を実装するにあたり、以下の3点に注意しましょう。

  • Cookie同意を得る前にCookieを付与しない
  • ユーザー自身がCookie同意を選択できる仕組みを構築する
  • 同意の撤回ができる旨を説明する

参考:【総まとめ】Cookie規制の影響とマーケティングにおける対策│LISKUL

インシデントフローの構築

インシデントの発覚・報告に対する社内フローの構築・整備を欠かさず行ってください。

GDPRでは個人データに関する問題が発覚した際は、72時間以内に監督機関へ報告するよう義務付けられています。(報告先は「

72時間を超えたあとでの報告だと罰則が科せられるため、インシデントの発見・報告のフロー構築が非常に重要です。


まとめ

GDPRはEU圏の個人情報を取り扱う場合に適用される法律です。EU圏のユーザーとビジネス上でやりとりのある企業は適用の対象となります。

EU圏の個人データを個人の許可なく保存・利用した場合、最低でも1,000万ユーロ(約14億円)の制裁金が科されるので、早急な対応が必要です。

GDPRの対応範囲は複雑で範囲も広いのですが、最低限以下の5つの項目には対応するようにしましょう。

  • 個人データの取り扱い状況の確認
  • データ処理における適法化根拠の決定
  • プライバシーポリシーの改定
  • 個人データ取得における同意の獲得
  • インシデントフローの構築

コメント