
GDPRはEUで2018年5月より施行された、個人情報保護に関する規則のことです。EU圏の企業だけではなく、一部の日本企業もGDPRの対象になるため、対応が必要になります。
規則に違反した場合は制裁金の支払いを命じられます。制裁金は最低でも1,000万ユーロ(約14億円)で、企業規模などは考慮されないため、早急な対応が必要です。
GDPRの対応としては以下のようなものが求められています。
- 個人データの取り扱い状況の確認
- データ処理における適法化根拠の決定
- プライバシーポリシーの改定
- 個人データ取得における同意の獲得
- インシデントフローの構築
本記事ではGDPRの概要について説明したうえで、GDPRの対象となる企業、違反した場合の罰則、具体的な対応方法について解説します。
この記事を読めばGDPRの基礎や「GDPRに対応すべきなのか」「どのような対応が求められているのか」がわかります。
目次
GDPRとは、ECの経済領域で定められた個人情報に関する規則・法律
GDPR(General Data Protection Regulation)とは、EU圏の個人情報保護を目的に2018年5月より施行された、個人データの「処理」と「移転」に関する規則のことを指します。
簡単に説明すると「EU圏の個人データを個人の許可なく保存・利用した場合は罰則が課せられる」という規則です。
GDPRにおける個人情報・個人データの定義
GDPRにおける個人データは「識別された、あるいは識別されうる自然人に関するすべての情報」と定義されています。
具体的な例としては以下のようなものが挙げられます。
- 氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス、Cookie)
- 身体的、生物学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
GDPRの保護の対象
個人データの範囲は「EU加盟国及び欧州経済領域(EEA)域内に所在する個人」で、国籍や居住地などは問いません。そのため、短期旅行や出向などで滞在している個人のデータも保護の対象となります。
参考:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)│日本貿易振興機構(ジェトロ)
ECに関連する企業・ECのユーザーと取引がある日本企業もGDPRの対象
GDPRは、EU圏のユーザーの個人データを取り扱う企業は対応が必要です。
以下の項目に当てはまる場合は早急にGDPRの対応が必要になります。
- EU圏内に拠点(本社だけでなく子会社や支部)を置く企業のサイト
- EU圏内に所在する個人に対して商品・サービスを提供している企業
- EU圏内のユーザーからアクセスがあるサイト
- EU圏内に所在する個人の行動監視・モニタリングを行っている企業
- EU圏内の個人のデータ処理(メールアドレスの収集、クレジットカード情報の保管、IPアドレスやCookie等のオンライン識別子の保存)を行っている企業
- Googleアナリティクスや広告タグを利用しており、かつEU圏からのアクセスがある企業
GDPRに違反した場合の罰則
GDPRに違反した場合、義務違反のケースに応じて以下のような制裁が課されます。
- 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
- 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方
事業規模に関わらず、最低でも1,000万ユーロ(日本円にして約14億円)の制裁金が課されるため、経営が困難になる自体に陥る可能性もあります。対象となる可能性がある場合、早急な対応が必要です。
最低限実施すべきGDPRへの対応項目
EEAが商圏にある企業や、EEA圏内のユーザーの個人データを取り扱っている企業は早急にGDPRへの対応を進めていく必要があります。
GDPRに対応する一例としては以下のようなものが挙げられます。
- 個人データの取り扱い状況の確認
- データ処理における適法化根拠の決定
- プライバシーポリシーの改定
- 個人データ取得における同意の獲得
- インシデントフローの構築
個人データの取り扱い状況の確認
現時点の個人データの取り扱いを確認することが先決です。自社がどのような個人データを扱っているかを整理することから始めましょう。
現状の把握において、以下の項目を必ず確認しましょう
- データの種類
- データ収集・使用の目的
- データの保存場所
- データの入手方法
- データの入手経路
データ処理における適法化根拠の決定
GDPRでは違法にデータの処理をすることを問題視しているので、データ処理が適法となる「根拠」の決定が必要です。
GDPRが定める適法根拠としては以下の6つが上げられます。
- データの主体(ユーザー)の同意
- 契約の履行
- 法的義務の遵守
- 生命に関する利益の保護
- 公共の利益
- 正当な利益
参考:GDPRにおける6つの適法根拠について│株式会社マネジメントオフィスいまむら
プライバシーポリシーの改定
プライバシーポリシーをGDPRに対応するよう改定します。
プライバシーポリシーはサイト訪問者から収集した個人データの取り扱いについて方針をまとめたものです。
GDPRへの対応を目的とした場合、以下のような項目を明示する必要があります。
- 個人データの利用目的
- データ処理の適法性の根拠
- 保存期間
- 取得する個人データの種類・項目
- 情報収集の方法
- ユーザーの権利(請求・削除の権利)
- 管理者の連絡先
個人データ取得における同意の獲得
個人データの収集にあたって、ユーザーからの同意(オプトイン)が必要です。
ポップアップなどを用いてCookieの使用の同意をとりましょう。Webサイトを開いた時に説明文とともに「Cookieに同意しますか」と表示され、選択式で同意・拒否を選べる仕組みです。
Cookie同意を実装するにあたり、以下の3点に注意しましょう。
- Cookie同意を得る前にCookieを付与しない
- ユーザー自身がCookie同意を選択できる仕組みを構築する
- 同意の撤回ができる旨を説明する
参考:【総まとめ】Cookie規制の影響とマーケティングにおける対策│LISKUL
インシデントフローの構築
インシデントの発覚・報告に対する社内フローの構築・整備を欠かさず行ってください。
GDPRでは個人データに関する問題が発覚した際は、72時間以内に監督機関へ報告するよう義務付けられています。(報告先は「
72時間を超えたあとでの報告だと罰則が科せられるため、インシデントの発見・報告のフロー構築が非常に重要です。
まとめ
GDPRはEU圏の個人情報を取り扱う場合に適用される法律です。EU圏のユーザーとビジネス上でやりとりのある企業は適用の対象となります。
EU圏の個人データを個人の許可なく保存・利用した場合、最低でも1,000万ユーロ(約14億円)の制裁金が科されるので、早急な対応が必要です。
GDPRの対応範囲は複雑で範囲も広いのですが、最低限以下の5つの項目には対応するようにしましょう。
- 個人データの取り扱い状況の確認
- データ処理における適法化根拠の決定
- プライバシーポリシーの改定
- 個人データ取得における同意の獲得
- インシデントフローの構築
コメント