GDPR、日本への影響と企業の取るべき対応策を解説!
GDPR(General Data Protection Regulation)は欧州連合(EU加盟国)で2018年5月25日に適用された個人情報の保護を強くする規則のことです。EUを含む欧州経済領域(EEA)域内で取得した個人の情報を EEA 域外に移転することを原則禁止しており、現地に進出している日系企業に勤務する現地の従業員、日本から派遣されている駐在員の個人情報も保護の対象に含まれるため注意が必要です。また、行政罰規定により違反行為に対しては、高額の制裁金が課されるリスクもあります。そこで、本記事ではGDPRの適用条件、日本企業が取るべき対応方法、対応・罰則が生じた事例等について解説します。
目次
GDPRについて
GDPRは、欧州連合(EU加盟国)で適用された個人情報を強化する規則のことです。EUを含む欧州経済領域(EEA)域内で取得した個人の情報を EEA 域外に移転することを原則禁止、現地に進出している日系企業に勤務する現地の従業員や、日本から派遣されている駐在員も含まれるため注意が必要です。また、違反行為に対しては、高額の制裁金が課されるリスクもあります。
GDPRの定義する個人情報
GDPRでは、個人情報を非常に広く定義しています。定義された個人情報例と、公式に提示されてはいませんが、該当の可能性が高い個人情報例を紹介します。
公式に提示された個人情報
・氏名
・識別番号
・住所等含む位置データ
・メールアドレス
・ID等のカード番号
・IPアドレス
・Cookie ID
・携帯電話の広告識別子
・病院や医師が保持するデータであり、個人を一意に識別する象徴となりうるもの
公式に提示されていないが、該当する可能性が高いと解釈される個人情報
・取引の履歴
・写真
・生活スタイルに関連する興味、関心
・ソーシャルメディアへの投稿
EUを含む欧州経済領域(EEA)域内で取得した上記の情報を、EEA 域外に移転することが原則として禁止になりました。
GDPRが施行された目的
GDPRは、個人情報保護の強化を目的として施行されました。GDPR施行の前は、1995年にEUデータ保護指令が採択されました。EUデータ保護指令は、EU加盟各国で国内法を制定するための“指針”であったため、実際に制定された国内法は国によって内容に差異がありました。 そこで、EU加盟国共通の規則を定める必要があるとされ、GDPRが制定されました。※EUデータ保護指令は「指令(Directive)」ですが、GDPRは「規則(Regulation)」となり法規則である点が大きく異なります。
GDPRの適用条件について
GDPRの適用条件、適用条件の落とし穴について解説します。
適用条件
GDPRは、個人情報を収集する組織、使用する組織、対象である個人のいずれかが、EU域内に拠点を置く場合が対象になります。
適用条件の落とし穴
注意点として、EU居住者の個人データを収集・処理する組織は、EU域外に活動拠点を置いていてもGDPRの適用対象とされることが挙げられます。
日本企業が取るべきGDPRの4つの対応方法について
EU加盟各国の個人情報保護の規制に対応するために、EU加盟各国に関わる形でサービスを展開する日本企業が取るべき対応を4つ紹介します。
①所有する個人情報の全体把握、一元管理
はじめに、個人情報の管理方法、用途や目的について把握する必要があります。点在する個人情報であれば、管理する上で生じるリスク、重複したデータの収集を避ける必要があります。それに加えて、「自社が個人情報を利用する目的、その目的を達成する上で必要のある個人情報は何か」を明確にします。加えて、個人情報の活用期間を明確にすること、活用期間を終えた後に、その情報を削除できる体制も必要です。
②情報セキュリティの整備
自社で、悪意のある情報漏洩、不正アクセス、サイバー攻撃などの対応手段と体制を構築することが求められます。個人情報の収集、保存、利用におけるリスクの分析を行い、セキュリティを強化することが求められます。
③GDPRに対応したプライバシーポリシーの改定と同意
GDPRにプライバシーポリシーを対応させる上で、「個人情報の利用目的」「保持期間」「第三者による利用有無および具体的なサービス提供者、サービスサイト、広告関連ベンダーの提示」「個人データの域外移転の有無」「ユーザー側の請求・削除権利」を記載することが求められます。プライバシーポリシーの改定には、前項の「所有する個人情報の把握」が完了していることが前提になります。次に、個人情報保護規制に対応したプライバシーポリシーに関する同意です。GDPRにより、同意を求める内容に関しては、「別の事項と明確に区別ができること、理解しやすく容易にユーザーがアクセスできる方法で、明確かつ平易な文言を用いて表示する」必要があります。例えば個人情報の入力フォーム上で、フォームを送信したら「プライバシーポリシーに同意するものとみなします」という記載、デフォルトでプライバシーポリシー同意のチェックをオンにしている行為はGDPR違反と判断される可能性があります。既存の顧客に対しては、サービスの再ログイン時から同意を求め、新規訪問者にはポップアップ等でCookieの使用に同意を得るのが一般的です。加えて、ユーザーが同意した内容をいつでも撤回できる機能の追加に対応できるよう、同意の証拠を提示できる体制も必要です。また、16歳未満の個人情報はユーザー保護者の同意を得る必要があり、取り扱いには注意が必要です。
④ユーザー自身が個人情報に関する権利を行使可能にする機能の整備
GDPRは、ユーザーに対して個人情報に関するいくつかの権利をユーザーに認めており、企業はユーザーがそれらを行使することを容易なものとする必要があります。
・自身に関する個人情報の目的・種類・保存期間等へのアクセス権
・訂正の権利
・消去の権利
・取扱いの制限の権利
・データポータビリティの権利
・プロファイリングを含む個人情報の取扱いに関して異議を申し立てる権利
・プロファイリングを含む自動化された取扱いに基づいた決定の対象とされない権利
2つのGDPR適用事例について
①Appleへの適用事例
AppleはGDPR施行後、2018年に公開したOSにおいて、「起動時のスプラッシュ画面でAppleのプライバシーポリシーを説明」「Appleが個人情報を収集しようとする際には、そのことを通知する新たなアイコンを表示」するようにしました。また、「Apple ID」の管理ページを更新し、GDPRに順守する形で、主要なプライバシー機能をユーザーが容易に利用できるようにしました。これには同社が保存したエンドユーザーの個人情報のダウンロード、アカウント情報の訂正、アカウントの一次停止または完全な削除なども含みます。
②googleへの適用事例
Googleは2019年、EUで施行されたGDPR(EU一般データ保護規則)に抵触し制裁金を科せられました。ユーザーの個人情報を扱う上でGDPRが定めるプライバシー保護の基準をGoogleが満たせていなかったためです。問題は個人情報の利用目的を解説しているページが分散しており、ユーザーが容易にたどり着けない設計となっていたことです。ユーザーが自身の個人情報を使用されないように設定する場合、手間のかかる操作を求めるシステムであるという点で違法性が指摘されました。もう一方は、ユーザーがGoogleのアカウントを作成する際に利用の目的別に利用規約の同意を取らず一括して同意を取得していた点です。この2つの問題により制裁金として5,000万ユーロ、日本円にして約62億円(2020年7月末時点)ものペナルティが科せられました。悪質性は低いと判断され、制裁事例の中では少額の支払いにとどまりましたが、アメリカの大手IT企業で初のGDPR違反の事例となりました。
GDPRに違反した場合の罰則について
GDPRに違反した場合には規定に則り、少なくとも1,000万ユーロ(約12億円)、義務違反のケースによっては2,000万ユーロ(約23億円)が制裁金の最低額として設けられており、事業規模によってはさらに多くの支払いが発生します。GDPRに違反する最大のリスクは、こうした制裁金の大きさだと言えます。
GDPRの今後
GDPRに基づいたガイドラインは多く公開されていますが、事業者としてはガイドラインを理解するための前提となる知識は準備しておくことが必要です。日本国内においてはIT関連の大手企業を中心に多額な賠償金を請求される事例が取り上げられることが多いですが、中小企業を対象にした事例も数多く公開されているため、所属する業種に合わせてどのような問題が生じる可能性があるか、事前に確認した上で対策を実施する必要があります。また、データの移転に関しては、2021年にイギリスの欧州連合離脱後、欧州と英国間でのデータ移転に関する議論が大きな議題になります。これまでイギリスと日本におけるデータ移転を行っていた企業も見直しが入る可能性があるため、今後の動向およびアップデートに注目する必要があります。
まとめ
今回は、GDPRとGDPRが与える日本企業への影響について解説してきました。
GDPR(General Data Protection Regulation)は欧州連合(EU加盟国)で適用された個人情報の保護を強くする規則です。欧州連合(EU加盟国)で適用された個人情報保護規則であるものの、違反した場合に罰則の伴う日本企業も無視できない規則である事は、お分かりいただけたでしょうか。
・自社状況がGDPRの要件に満たしているか確認したい
・取引先からGDPRへの対策を求められている
・将来的にEUへの事業展開を考えており、準備したい
・GDPRの対策を行い、対外的にアピールしたい
株式会社UPF(ユーピーエフ)は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートをご用意しております。
GDPRに対する対策法に、お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせくださ
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
