GDPR、顧客の個人データを正しく活用するために知っておくべき制度と対応のポイントを徹底解説！（完成）

GDPR（=General Data Protection Regulation）はEU加盟国で2018年5月25日に適用された個人データの保護を強くする規則のことです。EU加盟国を含む欧州経済領域（EEA）域内で取得した個人データを EEA 域外に移転することを原則禁止しており、現地に進出している日系企業に勤務する現地の従業員、日本から派遣されている駐在員の個人データも保護の対象になるため注意が必要です。また、行政罰規定により違反行為に対しては、高額の制裁金・罰則の課されるリスクもあります。

そこで、本記事ではGDPRの概要から適用条件、EU加盟国に関わる形で事業展開を行う日系企業が取るべき対応のポイントついて徹底解説します！

GDPRの定義する個人データ

GDPRでは、個人データを非常に広く定義しています。定義された個人データの例と、公式に提示されてはいませんが、該当の可能性が高い個人データ例を紹介します。

実際に適用された個人データ

・氏名
・識別番号
・住所等含む位置データ
・メールアドレス
・ID等のカード番号
・IPアドレス
・Cookie ID
・携帯電話の広告識別子
・病院や医師が保持するデータ等、個人を一意に識別する象徴となりうるもの

該当する可能性の高い個人データ

・取引の履歴
・写真
・生活スタイルに関連する興味、関心
・ソーシャルメディアへの投稿

GDPRの定義する個人データを紹介しました。
EUを含む欧州経済領域（EEA）域内で取得したGDPRの定義する、該当に値する可能性の高い個人データを、日本含むEEA 域外に持ち出すには注意が必要です。

GDPRが施行された目的

GDPRは、EU加盟各国として個人データの保護を強化することを目的として施行されました。GDPRの内容、施行された背景等について解説します。

EU加盟国内において個人データを保護する制度

GDPR施行の前は、1995年にEUデータ保護指令が採択されました。EUデータ保護指令は、EU加盟各国で国内法を制定するための“指針”であるため、制定された国内の規則は国によって、その内容に差異がありました。 そこで、EU加盟国共通の規則を定める必要があるとされ、GDPRが制定されました。
※EUデータ保護指令は「指令（Directive）」ですが、GDPRは「規則（Regulation）」となり法規則である点が大きく異なります。

インターネットサービスの普及と個人データ保護

インターネットを介したサービスの普及により、個人データを保護する動きが活発になりました。近年、人々はインターネットを介し、氏名、住所、Webサイト、アプリ内での行動履歴、指紋等の生体情報を含む大量の個人データをやり取りしています。知らない間に個人データを収集し、ビジネスに活用され、莫大な収益を得る企業も登場しました。

限られた巨大IT企業が個人データを大量に収集し、ビジネスに利用している状況に対し、個人データを定義する範囲を広げ、明確にし、個人データの保護を強化するように求める世論が広まりました。
個人データの保護を強化する動きは、EU外にも広がっています。タイやブラジルではGDPRに似た個人情報保護法が制定され、インドでも議会で審理が行われています。米国カリフォルニア州でも、個人情報保護を強化する「カリフォルニア消費者プライバシー法（CCPA）」が制定されました。

GDPRに基づいた、個人データに関する顧客の権利

① 個人データへのアクセスを容易なものにする

個人データの主体は、情報の管理方法等に関する情報提供を受けることのできる権利、当該情報に対して容易にアクセスすることのできる権利を有します（GDPR13条-15条）。
また、自分の個人データを電子ファイル等の形式で受け取ることのできる権利、それを別の管理者に提供することのできる権利も有します（GDPR20条）。

②個人データの訂正や削除を求めることを容易なものにする

管理者に対して、個人データの主体は不正確な個人データを訂正することを求める権利を有します（GDPR16条）。
加えて、不必要な個人データや、違法に取り扱われた個人データは、主体が管理者に対して消去を求めることが可能です（GDPR17条）。

③ 個人データの利用制限を求めることを容易なものにする

正確性に疑義のある個人データ、違法に扱われた個人データ等は、本人が管理者に対して、利用制限を請求する権利を有します（GDPR18条）。

④ 個人データの取扱いに異議を述べることができる

本人の同意がなくとも認められる個人データの取扱いのうち、以下に該当する場合、本人はいつでも異議を申し立てる権利が認められています。異議が申し立てられた場合、管理者は優越する利益等がない場合、個人データの取扱いを停止しなければなりません（GDPR21条1項）。
また、個人データをDMや勧誘メール等のダイレクトマーケティングに利用することについては上記の場合以外にも異議を述べることができ、本人が異議を述べた場合には、それ以降、当該する個人データを活用したダイレクトマーケティングの利用は認められません（GDPR21条3項）

日本企業が取るべきGDPRの対応方法

EU加盟各国の個人データ保護の規則に対応するために、サービスを展開する日本企業が取るべき対応を4つ紹介します。

①所有している個人データの把握、一元管理

はじめに、個人データの管理方法、用途や目的について把握する必要があります。点在する個人データであれば、管理する上で生じるリスク、重複したデータの収集を避ける必要があります。それに加えて、「自社が個人データを利用する目的、その目的を達成する上で必要のある個人データは何か」を明確にします。また、個人データの活用期間を明確にすること、活用期間を終えた後にデータを削除できる体制も必要です。

②ユーザーが自身の個人データに関する権利を行使可能にする機能の整備

GDPRは、ユーザーに対して個人データに関するいくつかの権利をユーザーに認めており、企業はユーザーがそれらを行使することを容易なものとする必要があります。
・自身に関する個人データを扱う目的・種類・保存期間等へのアクセス権
・訂正の権利
・消去の権利
・取扱いの制限の権利
・データポータビリティの権利
・プロファイリングを含む個人データの取扱いに関して異議を申し立てる権利
・プロファイリングを含む自動化された取扱いに基づいた決定の対象とされない権利

GDPRに違反した場合の罰則

GDPRに違反した場合には規定に則り、少なくとも1,000万ユーロ（約12億円）、義務違反のケースによっては2,000万ユーロ（約23億円）が制裁金の最低額として設けられており、事業規模によってはさらに多くの支払いが発生します。GDPRに違反する最大のリスクは、こうした制裁金の大きさだと言えます。

まとめ：顧客の権利を尊重した事業展開を実現するには

今回は、顧客の権利を尊重した形で事業展開する上で抑えておくべき規則である”GDPRの概要”から”日本企業へ与える影響と対応のポイント”について解説してきました。

GDPR（General Data Protection Regulation）は、欧州連合（EU加盟国）で適用された個人データ保護規則であるものの、違反した場合には、日本企業も罰則の伴う無視できない規則である事は、お分かりいただけたでしょうか。また、GDPRのような個人データの保護規制を強める風潮は世界に広まっています。

・自社状況がGDPRの要件に満たしているか確認したい
・取引先からGDPRへの対策を求められている
・将来的にEUへの事業展開を考えており、準備したい
・GDPRの対策を行い、対外的にアピールしたい

株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートをご用意しております。
GDPRへの対応を検討している、またお悩みを抱える企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。