GDPRとは?影響と対策を徹底解説!
「GDPR」とは何かご存じでしょうか。EU(欧州連合)で2018年5月に施行された、個人情報を強化する規則のことです。GDPRはEU域内だけではなく、全世界の企業に適用可能性があり、日本企業もその範囲に含まれています。この記事では、GDPR施行による日本への影響、企業対応を解説していきます。
目次
GDPR(EU一般データ保護規則)とは?
GDPRの中身は主に以下の通りになっています。
・EEA所在者の個人情報(※)を取り扱う場合の、収集・保存・利用についての規制強化
※氏名、住所、位置情報、オンラインの識別子(IPアドレス、Cookie)など
・個人情報の利用目的の対する適正な説明や同意、ユーザー側の閲覧・削除の権利
・個人情報の域外移転禁止
・法令違反に対する警告、停止、罰金(200万ユーロ又は世界の年間売上高の4%)
注意すべきことは、IPアドレスやCookieのような日本法において単体では個人情報に該当しないデータでも、GDPRでは対象になることです。たとえば、ネットサーフィン中に何気なくオンライン識別子を用いて情報収集している場合もGDPR違反となる恐れがあるため、情報の扱いは慎重に行わなければなりません。
GDPRの施行目的
元々「EUデータ保護指令」というGDPRと類似した規則があったのですが、オンラインで取り扱う個人情報の規制がなかったため、個人情報を取り扱う全企業の公平性を考慮し、GDPRが施行されました。GDPRで個人情報の取り扱いを強化し、ユーザーからの信頼性を高め、その結果事業を促進させることが施行目的です。
個人データ保護のための義務
GDPRは、主に個人データの「処理」と「転移」について規定した法律です。
1.処理
「処理」とは、収集、記録、保管、参照、使用、伝達による開示、削除の操作を指します。処理の手段は、自動・手動を問いません。たとえば、EEA域内の見込客のメアドの収集、顧客のクレカ情報の保存、旅行や出張などで一時的にEEAを訪れた人のデータ収集などが挙げられます。これらの処理行為がデータ主体の同意なしに行われた場合、違反になります。
2.転移
「転移」とは、EEA域内の個人データをEEA域外へ持ち出すことです(明確には定義されていません)。「転移」行為は当然違反ですが、移転先の国やエリアで適切な保護措置が取られている場合は例外的に適法となります。
違反した場合
GDPR違反者には法的執行および制裁が下され、その対象は政府機関やNGOなど民間企業以外も含まれます。たとえば、個人情報をEEA域外へ許可なく持ち出した場合は最大2,000万ユーロ(約26億円)、あるいはグローバル売上の4%のうち高い方の制裁金が課されます。このとき、違反側の企業規模などは考慮されません。また、情報漏洩が発生したにもかかわらず未通知だった場合などの比較的軽度な違反は、上記制裁金の半額が課されます。
具体例:GoogleとFacebookの提訴
GDPRが施行された2018年5月25日、Facebookとその傘下のGoogle 、Instagram、WhatsAppが、プライバシー保護活動を行うNPO団体「noyb」に提訴されました。これらの企業は、GDPRの施行に向けて長期間の準備と措置を行ってきたと主張していますが、プライバシーポリシーに対して強制的にユーザーの同意を得ていることが問題でした。例えばFacebookでは、プライバシーポリシーに同意しないユーザーのアカウントをブロックし、同意しなければアカウントを削除する等の対応を取っていました。
日本企業への影響
ここまで海外の企業事例を取り上げてきましたが、GDPR適用の「個人データ・処理」範囲は広く、入念な対策が必要です。そこで次は、日本企業がGDPRの対象となる場合を具体的に見ていきます。
・EU域内の支店・子会社で個人データを処理する場合
EU域内に日本の支店や子会社などの営業拠点が存在する場合、活動過程での個人データ処理はGDPRの適用対象になります。本社の所在地がEU域外、データ処理がEU域外で行われるなどの場合でも免除されることはありません。
・日本国内からEUへ商品提供する場合
GDPRは、日本からEU域内にインターネットサイトで商品販売やサービス提供を行っている企業にも適用されます。その判断は、サイトにおける言語や取り扱い通貨などが基準です。
・EU域内でのデータ監視の場合
EU域内のデータ主体を監視する場合も、GDPRが適用されます。「監視」には、ターゲティング広告やレコメンドなどが含まれますが、対象範囲は明確になっていません。
GDPR対応の順序
ここで気になるのは、各企業がどのようにGDPRを遵守すればよいかということです。日本企業によく見られるケースを踏まえて、以下の5段階に沿って対応していくことが有効です。
1.計画・準備
自社がGDPRの規制対象であるか、GDPRで定められた各種要件に照らして判断をしましょう。規制対象であった場合、データ量や対象業務・システムを特定し即対応に取り掛かることが必要です。
2.影響の分析
自社で扱っている個人データを一覧化し、現状を明確にしましょう。具体的には、データを扱う「人」「目的」「方法」等の観点で調べ、GDPRに記載の要求事項と現状のギャップを洗い出します。
3.対応方針・計画作成
ステップ2で洗い出したギャップを埋めるための対応案を作成しましょう。必要に応じて弁護士などの検証を通し、GDPRへの対応方針を確定させます。
4.実装・展開
ステップ3で作成した対応方針・計画に基づき、実装を進めていきます。実装後は、社内従業員や子会社、外部委託先などに事業を展開し対応の促進を図りましょう。このとき、グローバルに拠点を持つ企業では、国別で導入しているシステムの多さから、決定した対応策の実装に時間やコストがかかることが注意点です。
5.継続運用
最後に、定期的なモニタリングを行い、GDPRが遵守されているか確認しましょう。業務体制や内容に変更が生じた場合、作成した対応案を修正し、再び実装・展開をしていく必要があります。
企業の注意点
ここまで、GDPRの適用条件を述べてきましたが、まだまだ企業が見落としがちなポイントがあるため詳しく解説していきます。
1.EU域内からのアクセス
まず、最も警戒すべきこととして、「自社サイトへのEU域内からのアクセス」があげられます。ターゲティング広告のタグを設置するために英語版サイトを運用しているだけでもリスクがあるため、自社サイトへの現在時点でのアクセスを解析し、EU域内からのアクセスが一定数あれば、ただちに対策を行いましょう。
2.EU域内短期滞在者のデータ
出張や出向によるEU域内短期滞在者の個人データもGDPRの適用対象となります。国籍や居住地を問わず「取得時にEU域内に居たか」がGDPRにおける個人データの定義であるからです。
3.データ移転時の補完的ルール
EU域外への個人データ移転について、持ち出しに関する所定の条件を定めるなど、GDPRは厳しく制限しています。一方で「十分性認定」(個人データ取り扱いに関して十分な保護水準を満たしている)を受けている日本は、GDPRの条件が適用されません。そのため、認定がない国と取引する際に、都度データ処理関係の契約を交わさなければならず、手間がかかります。また、このような認定国であっても、個人情報保護法 +「補完的ルール」を遵守しなければなりません。「補完的ルール」とはGDPRと個人情報保護法の差異を埋める規則であり、国内の個人データと同じ意識で扱うとトラブルになるため注意が必要です。
今後のネットサービス
GDPR施行を経て、個人情報の提供(クッキーを含む)により無料で利用できていたネットサービスは、そのように変化を遂げるでしょうか。
・アドテク業界の課題
まず初めに、アドテクベンダー(アドテクノロジー商品の企画・開発・販売担当者)が対応しきれない場合、リターゲティング広告を打ち出している企業を中心に、EEAからの撤退を余儀なくされます。日本においても、EEAからのアクセスについては、閲覧中のWebサイトとサードパーティーの両方から承諾を得なければクッキーの発行ができませんが、このような面倒な手順をユーザーに求めることは簡単ではないでしょう。
・ネットサービスの有料化
ユーザーの個人データ収集・販売やバナー広告の出稿費で得た利益によって、サービスを無料提供していたメディアのビジネスは、GDPR施行により成り立たなくなります。しかし、ユーザーに正当なサービス対価を求める形態に転換し、有料化に踏み切るという手はあります。そもそもGDPRの規定では、ユーザーが個人データ提供に同意しない場合もサービスを提供することになっているため、有料化によりサービスがよりユーザーのニーズに沿ったものへ変わると考えれば良い傾向ともいえます。
まとめ
GDPR施行後も多発している、サイバー攻撃やセキュリティ不備による顧客情報の流出が、GDPRの制裁対象となる可能性は十分にあります。仮に制裁対象となった場合、高額な制裁金だけではなく、レピュテーションの毀損や個人による訴訟対応など、二次的被害も容易に想定されます。このようなリスクを回避するために、今から着実にGDPR対応を進めていきましょう。
株式会社UPFは、業界を問わず、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPR対策でお悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
