こんにちは Web担当の山中です。
GDPR(General Data Protection Regulation、EU一般データ保護規則)が施行されて各方面のWebサイトも徐々に対応が進んでいると思われます。
GDPRとは、EEA域内において、Web上の個人を特定する情報(IPアドレスやCookieなど)に関して適用される法律で、2018年5月25日に欧州議会、欧州理事会および欧州委員会より施行されました。
日本の個人情報保護法より保護対象のデータが明らかに広く、GDPRは欧州に拠点をもつ企業はもちろん、日本でのみ事業を営んでいる企業であっても対応が必要になる可能性もある法律として大きな注目を集め続けています。
この意外と身近なGDPRについてもっと詳しく見ていきたいと思います。
GDPR等への対応に向けての課題解決を支援、米国企業を中心に 1,500以上の企業が選んだ クラウド型GDPR・プライバシー管理ツール OneTrust:
https://www.grcs.co.jp/products/onetrust
Cookie収集&Webサイトスキャン機能「CookiePro」:
https://www.grcs.co.jp/promotion/cookiepro
本ブログは法的助言を提供するものではありません。実際の法律の適用は、具体的な事実関係によって異なる可能性があります。ここでの内容は、適用法令への遵守について一切保証するものではありません。具体的な法律問題については、弁護士へのご相談を推奨しております。このページに記載されている情報や見解は、予告なしに変更することがあります。
目次
GDPRとは一言でいうと以下になります。
個人データ を 処理 し、個人データをEEA域内から第三国に 移転 するために満たすべき法的要件を規定している。個人データの移転は原則として禁止されており、例外的に適法化される。
EEA域内に所在する個人の個人データの処理と移転に関する法律
※ EEA(欧州経済領域)…EU加盟国+アイスランド、リヒテンシュタイン、ノルウェー
細かく見ていきますと
「個人データ」
→ 識別された又は識別され得る自然人に関する情報
例えば「氏名」「メールアドレス」「オンライン識別子(IPアドレス、Cookie)」などの個人の特定に繋がる情報になります
「処理」
→ 自動手段であるかどうかに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業
例えば「クレジットカード情報の保存」「メールアドレスの収集」「オンライン識別子の削除」 など
「移転」
→ EEA域外の第三国の第三者へ対して、個人データを閲覧可能にするためのあらゆる行為
例えば個人データを含んだ電子形式の文書を電子メールでEEA域外に送付する など
情報化社会のいま、Webサイトなどオンライン上ではさまざまな個人情報のやり取りがされており、そこで扱われるデータについてきちんと法律で保護するためにGDPRが制定されました。
GDPRとは「個人データ」の「処理」と「移転」についてEUで制定された、個人情報保護に関する法律です。
では、GDPRが適用される範囲とは一体どれくらいなのでしょうか?
GDPRに関係してくる主な登場人物は「データ主体」、「管理者」、「処理者」の3者です。
「データ主体」
これは個人データが関連する当該個人、つまり、個人情報を持つ本人になります。
EEA域内へ所在する個人(EEA域内への旅行者、出向した従業員等)があてはまります。
「管理者」
単独または共同で個人データの「処理の目的」と「手段」を決定、また個人データの処理の適法性とGDPR違反に対する責任を負う者とあります。
つまり、EEA域内の個人へ商品・サービス(航空券、ホテル等)を販売する企業等がこれにあてはまります。
「処理者」
管理者を代理して、個人データの「処理」を行う自然人または法人とあります。
つまり、人データを用いた販促活動を管理者を代理して処理を行う企業等があてはまります。
「管理者」と異なる点は「処理者」は「管理者」の指示に従って処理をするだけの組織になります。
具体的にどんな場合が想定されるのかというと
「日本にあるA旅行会社は国内のWEBサイトでEEAに住んでる人に対して商品・サービス(航空券、ホテル等)を販売した」
この場合GDPRは適用となり、 自社にEEA域内に所在する個人データがあれば、GDPRが適用される と捉えることができます。
つまり、EEA域内に住んでいる人や、EEA域内に拠点がある企業だけが適用となるのではなく、EEA域内に旅行に来ている日本人の情報や、EEA域内に住んでいる人に対して(EEA域内に拠点がない)日本企業がWebサイトで商品を販売して個人情報を得る場合も適用範囲となります。
GDPRが対象となる企業とは
引用:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項
EUに子会社や支店、営業所などを有している企業
日本からEUに商品やサービスを提供している企業
EUから個人データの処理について委託を受けている企業
ではGDPRの対応が十分にできておらず、違反した場合はどうなるのでしょうか?
その場合巨額の制裁金が課せられてしまいます。
制裁金の上限は違反した条項の種類により2つの類型があります。
パターン①:前事業年度の企業の全世界年間売上高の4%以下または2,000万€のいずれか高い方
パターン②:前事業年度の企業の全世界年間売上高の2%以下または1,000万€のいずれか高い方
例えば 全世界年間売上高 100億円の場合の制裁金はというと
パターン①: 4億円 または 26億円 (パターン②: 2億円 または 13億円) ※ 1€=130円換算
この場合、もっとも金額が高い方の26億円(または13億円)を支払わなければなりません。
GDPRが施行された2018年5月25日には、オーストリアの弁護士 Max Schrems 氏が率いる非営利団体noybが、不特定の個人を代表した形でGoogle(グーグル)、フェイスブックとその傘下のInstagram(インスタグラム)、WhatsApp(ワッツアップ)の巨大企業を相手に4つの訴状を提出しています。
そして、2019年1月21日にはフランスのデータ保護当局CNIL(情報処理と自由に関する国家委員会)が、5000万ユーロ(約62億円)の制裁金の支払いをGoogleに課しました。これはGDPR違反による巨額制裁金として世界初となります。
制裁金の問題だけではなく、今後Googleは個人情報の取り扱いについて、従来の方法からの方向転換も余儀なくされそうです。
では、日本ではGDPRにおける取り組みはどうでしょうか?
GDPR対応に関する日本企業が抱える課題として、以下が挙げられています。
GDPR対応は一朝一夕にできるものではありません。
まずは今の現状を把握し、リスクに対する手当を検討しはじめる必要が出てきます。
日本では個人情報保護法がありますが、Webなどのオンライン上でやり取りされるオンライン識別子(IPアドレスやCookie)などのデータに関して明確な規制はまだありません。
しかしEEA域内だけに限らず、GDPRのような個人情報の取り扱いは今後世界中で巻き起こる事が予想され、日本も例外ではなくなってくるかもしれません。
またGDPRは個人情報管理や情報セキュリティ対策に置ける一側面でしかありません。
まず自社において、どこでどれくらい個人情報を扱っているかを把握し管理できていることが前提にあります。もちろん個人情報を管理をしているからといって、情報漏洩対策がきちんとされていなければ重大な問題を引き起こしてしまう恐れがあります。
企業は、企業責任として、抱えている個人の情報に対しあらゆる側面から対応が求められてきます。
ここに挙げたGDPRだけでも対応すべき課題は多岐にわたります。しかしGDPRはきちんと対策が取れていれば怖くありません。
GDPRに関して自社だけでの判断や対応にお困りの際は、弊社でGDPR対策を支援するコンサルティングサービスを行なっておりますので、ぜひ一度ご相談ください。
GDPR等への対応に向けての課題解決を支援、米国企業を中心に 1,500以上の企業が選んだ クラウド型GDPR・プライバシー管理ツール OneTrust:
https://www.grcs.co.jp/products/onetrust
Cookie収集&Webサイトスキャン機能「CookiePro」:
https://www.grcs.co.jp/promotion/cookiepro
※ 関連記事