GDPR（EU一般データ保護規則）日本の十分性認定　Webサイト Cookie対応ほか対応の必要性

こんにちは Web担当の山中です。

GDPR（General Data Protection Regulation、EU一般データ保護規則）が施行されて各方面のWebサイトも徐々に対応が進んでいると思われます。

GDPRとは、EEA域内において、Web上の個人を特定する情報（IPアドレスやCookieなど）に関して適用される法律で、2018年5月25日に欧州議会、欧州理事会および欧州委員会より施行されました。

日本の個人情報保護法より保護対象のデータが明らかに広く、GDPRは欧州に拠点をもつ企業はもちろん、日本でのみ事業を営んでいる企業であっても対応が必要になる可能性もある法律として大きな注目を集め続けています。

この意外と身近なGDPRについてもっと詳しく見ていきたいと思います。

1. GDPRとは　日本の十分性認定

GDPRとは一言でいうと以下になります。

細かく見ていきますと

「個人データ」

→ 識別された又は識別され得る自然人に関する情報

例えば「氏名」「メールアドレス」「オンライン識別子（IPアドレス、Cookie）」などの個人の特定に繋がる情報になります

「処理」

→ 自動手段であるかどうかに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業

例えば「クレジットカード情報の保存」「メールアドレスの収集」「オンライン識別子の削除」　など

「移転」

→ EEA域外の第三国の第三者へ対して、個人データを閲覧可能にするためのあらゆる行為

例えば個人データを含んだ電子形式の文書を電子メールでEEA域外に送付する　など

情報化社会のいま、Webサイトなどオンライン上ではさまざまな個人情報のやり取りがされており、そこで扱われるデータについてきちんと法律で保護するためにGDPRが制定されました。

GDPRとは「個人データ」の「処理」と「移転」についてEUで制定された、個人情報保護に関する法律です。

２. どこまで影響がある？GDPRの適用範囲

では、GDPRが適用される範囲とは一体どれくらいなのでしょうか？
GDPRに関係してくる主な登場人物は「データ主体」、「管理者」、「処理者」の３者です。

「データ主体」

これは個人データが関連する当該個人、つまり、個人情報を持つ本人になります。
EEA域内へ所在する個人（EEA域内への旅行者、出向した従業員等）があてはまります。

「管理者」

単独または共同で個人データの「処理の目的」と「手段」を決定、また個人データの処理の適法性とGDPR違反に対する責任を負う者とあります。
つまり、EEA域内の個人へ商品・サービス（航空券、ホテル等）を販売する企業等がこれにあてはまります。

「処理者」

管理者を代理して、個人データの「処理」を行う自然人または法人とあります。
つまり、人データを用いた販促活動を管理者を代理して処理を行う企業等があてはまります。
「管理者」と異なる点は「処理者」は「管理者」の指示に従って処理をするだけの組織になります。

具体的にどんな場合が想定されるのかというと

「日本にあるA旅行会社は国内のWEBサイトでEEAに住んでる人に対して商品・サービス（航空券、ホテル等）を販売した」

この場合GDPRは適用となり、 自社にEEA域内に所在する個人データがあれば、GDPRが適用される と捉えることができます。

つまり、EEA域内に住んでいる人や、EEA域内に拠点がある企業だけが適用となるのではなく、EEA域内に旅行に来ている日本人の情報や、EEA域内に住んでいる人に対して（EEA域内に拠点がない）日本企業がWebサイトで商品を販売して個人情報を得る場合も適用範囲となります。

GDPRが対象となる企業とは

３. GDPRの制裁金制度

ではGDPRの対応が十分にできておらず、違反した場合はどうなるのでしょうか？
その場合巨額の制裁金が課せられてしまいます。

制裁金の上限は違反した条項の種類により2つの類型があります。

　パターン①：前事業年度の企業の全世界年間売上高の4%以下または2,000万€のいずれか高い方

　パターン②：前事業年度の企業の全世界年間売上高の2%以下または1,000万€のいずれか高い方

例えば 全世界年間売上高　100億円の場合の制裁金はというと

パターン①： 4億円 または 26億円　（パターン②： 2億円 または 13億円）　※ 1€=130円換算

この場合、もっとも金額が高い方の26億円（または13億円）を支払わなければなりません。

GDPRが施行された2018年5月25日には、オーストリアの弁護士 Max Schrems 氏が率いる非営利団体noybが、不特定の個人を代表した形でGoogle（グーグル）、フェイスブックとその傘下のInstagram（インスタグラム）、WhatsApp（ワッツアップ）の巨大企業を相手に４つの訴状を提出しています。

そして、2019年1月21日にはフランスのデータ保護当局CNIL（情報処理と自由に関する国家委員会）が、5000万ユーロ（約62億円）の制裁金の支払いをGoogleに課しました。これはGDPR違反による巨額制裁金として世界初となります。
制裁金の問題だけではなく、今後Googleは個人情報の取り扱いについて、従来の方法からの方向転換も余儀なくされそうです。

４. GDPRへの対応状況

では、日本ではGDPRにおける取り組みはどうでしょうか？

GDPR対応に関する日本企業が抱える課題として、以下が挙げられています。

• GDPRの対応として日本本社主導、現地拠点と連携しての対応について、具体的に何をすればよいかわからない
• 現在の対応状況がGDPRの要件を十分に満たしているか確認したい
• 現行、現地法人においてデータの流れがどうなっているのか分からない（現地法人から日本のサーバにアクセスしていると思われるがブラックボックス化している)
• 現地法人において、適切なデータ漏洩対策(ITソリューション及びルール整備)がとられていない
• データ主体の権利の尊重^※に対応できるようにしたいが、やり方が分からない
  ※ 情報権、アクセス権、訂正権、削除権、制限権、データポータビリティの権利、意義権、自動的な意思決定に関する権利

GDPR対応は一朝一夕にできるものではありません。
まずは今の現状を把握し、リスクに対する手当を検討しはじめる必要が出てきます。

５. まとめ

日本では個人情報保護法がありますが、Webなどのオンライン上でやり取りされるオンライン識別子（IPアドレスやCookie）などのデータに関して明確な規制はまだありません。

しかしEEA域内だけに限らず、GDPRのような個人情報の取り扱いは今後世界中で巻き起こる事が予想され、日本も例外ではなくなってくるかもしれません。

またGDPRは個人情報管理や情報セキュリティ対策に置ける一側面でしかありません。

まず自社において、どこでどれくらい個人情報を扱っているかを把握し管理できていることが前提にあります。もちろん個人情報を管理をしているからといって、情報漏洩対策がきちんとされていなければ重大な問題を引き起こしてしまう恐れがあります。
企業は、企業責任として、抱えている個人の情報に対しあらゆる側面から対応が求められてきます。
ここに挙げたGDPRだけでも対応すべき課題は多岐にわたります。しかしGDPRはきちんと対策が取れていれば怖くありません。

GDPRに関して自社だけでの判断や対応にお困りの際は、弊社でGDPR対策を支援するコンサルティングサービスを行なっておりますので、ぜひ一度ご相談ください。