GDPR対策におけるポイント、取るべき対応方法を徹底解説！

GDPR(General Data Protection Regulation: EU一般データ保護規則)は、個人データの取り扱いについて2018年にEUにて施行された法律です。このGDPRで定義されている個人データには、氏名やメールアドレス、IPアドレスやCookieなどが該当し、もし規定に違反した場合には、巨額の制裁金が科される可能性があります。
世界レベルで個人情報保護にまつわる基準や規則が厳格化する今日において、日本企業もGDPR対策を進めていく必要があります。
今回はGDPR対策におけるポイントや取るべき対応方法について徹底解説しますので、ぜひ参考にしてみてください。

GDPRの定義する個人データ

GDPRでは、個人データを非常に広く定義しています。対象データに関する解釈や情報が様々出ていますが、GDPRの対象となる個人データは「個人を識別できる情報及び複数の情報を組み合わせることで個人の識別ができる情報」と言われております。実際に定義された個人データの例と、該当の可能性が高い個人データ例は次のとおりです。

実際に定義された個人データ

・氏名
・識別番号
・住所等含む位置データ
・メールアドレス
・ID等のカード番号
・IPアドレス
・Cookie ID
・携帯電話の広告識別子
・病院や医師が保持するデータ等、個人を一意に識別する象徴となりうるもの

該当する可能性の高い個人データ

・取引の履歴
・写真
・生活スタイルに関連する興味、関心
・ソーシャルメディアへの投稿

上記内容の個人データをEUを含む欧州経済領域（EEA）域内で取得した場合、日本を含むEEA 域外に持ち出すには注意が必要です。それを踏まえた上で、GDPRでは個人データを幅広く定義しておりますが、どの情報が該当するのかしっかりと把握しておくことが重要と言えます。

GDPRが施行された目的

GDPRは、EU加盟各国が個人データの保護を強化することを目的として2018年に施行されました。GDPRの前は、1995年に採択されたEUデータ保護指令が主流でした。しかしEUデータ保護指令は、EU加盟各国で国内法を制定するための“指針”であるため、制定された国内の規則は国によって内容に差異がありました。 そこで、EU加盟国共通の規則を定める必要があるとされ、GDPRが制定されたのです。
※EUデータ保護指令は「指令（Directive）」ですが、GDPRは「規則（Regulation）」となり法規則である点が大きく異なります。

日本企業がGDPRに無関係だとは言えない

GDPRは海外での法令とはいえ、日本の企業も無関係だとはいえません。業務上でEUとの結びつきが強い場合はもちろんのこと、思わぬ形においてもGDPRの対象となるケースが十分に考えられます。

・支店や子会社がEU域内にあり、事業を行っていく上で個人データを処理する場合
・日本国内からEUに向けて商品・サービスを提供している場合

など、EU域内に事業展開していることはもちろん、人の移動に伴うデータの移行も対象になり、GDPRが適用されます。たとえば、EU圏内に所在している日本人がデータを携えて日本に戻った場合、データの移送と見なされます。

対策のポイント：顧客の権利を尊重した設計

個人データの主権は、企業ではなく個人が保有しています。 したがって、個人データを収集・使用する場合は、個人の権利について尊重する必要があります。
GDPRでは個人データの処理を禁止しているわけではなく、適法化根拠なしに個人データを処理することを問題としています。重要となるGDPRが定めている個人の権利について主に3つご紹介します。

① 個人データへのアクセスを容易なものにする

個人データの主体は、情報の管理方法等に関する情報提供を受けることのできる権利、当該情報に対して容易にアクセスすることのできる権利を有します（GDPR13条-15条）。
また、自分の個人データを電子ファイル等の形式で受け取ることのできる権利、それを別の管理者に提供することのできる権利も有します（GDPR20条）。

② 個人データの訂正や削除を求めることを容易なものにする

管理者に対して、個人データの主体は不正確な個人データを訂正することを求める権利を有します（GDPR16条）。
加えて、不必要な個人データや、違法に取り扱われた個人データは、主体が管理者に対して消去を求めることが可能です（GDPR17条）。

③個人データの利用制限を求めることを容易なものにする

正確性に疑義のある個人データ、違法に扱われた個人データ等は、本人が管理者に対して、利用制限を請求する権利を有します（GDPR18条）。

上記内容を意識して、顧客の権利を尊重した形で個人情報を取り扱い、事業展開していきましょう。

GDPRの要求を満たす4つの対応方法

この項目では、EU加盟各国の個人データ保護の規則に対応するために、サービスを展開する日本企業が取るべき対応を4つ紹介します。

①データ保護責任者の配置

データ保護責任者とは、管理者またはデータ処理者に指名が義務付けられる専門職であり、独立した立場で経営陣へ意見するなどの権限があります。社内に配置することで、もしデータ漏えいなど有事が起きてしまった際、責任者を明らかにして説明責任を強化することができます。特殊でもあるので、すぐに人材が見つからない場合は、社外の専用サービスを利用することも可能です。

②所有する個人情報の把握、一元管理

社内で取り扱っている個人データの現状をしっかりと把握、管理することも重要です。把握するべき事項として、主に以下の４点が挙げられます。

・個人データの保存場所
・個人データの使用目的
・個人データの入手経路と入手方法
・個人データの種類(どのような内容の個人データであるのか)

この他、データファイルにアクセスした日時や人物など、「履歴管理」に関する調査なども行うとよいでしょう。データをどのように管理しているか、していくかについても把握していく必要があります。

③セキュリティインシデント対応

GDPRでは、個人データに関する問題が発生した場合について、監督機関へ72時間以内に報告するよう定めています。72時間を過ぎて報告した場合は、罰則が科せられます(GDPR第33条)。そのため、企業は「トラブルの速やかな発見」のための社内体制を構築しておくとよいでしょう。

④プライバシーポリシーの改定、同意

自社の個人情報管理フローがGDPRに準拠した内容となっているかを確認してみることも重要です。

・個人データを取得しているシチュエーション
・取得している個人データの種別
・取得データの管理状況

などを明らかにし、自社の抱えているリスクを明確化しておくことが大切です。
また、すでにプライバシーポリシーを公表している場合にも、多くのケースでは適法化根拠を明示するなど、GDPRに合わせて改定していく必要があります。

GDPRに違反した場合の罰則

GDPRに違反した場合には規定に則り、少なくとも1,000万ユーロ（約12億円）、義務違反のケースによっては2,000万ユーロ（約23億円）が制裁金の最低額として設けられております。事業規模によってはさらに多くの支払いが発生するでしょう。
実際にフランスでは、アメリカの大手インターネット企業が不備を指摘されました。ターゲティング広告等でのユーザー情報の取り扱いで、情報の不透明性とユーザーの同意取得に関して疑いを持たれたのです。直ちに違反と判断され、結果としてフランスのデータ保護機関は同社に5,000万ユーロという巨額の制裁金を科しました。
GDPRに違反する最大のリスクは、こうした制裁金の大きさだと言えます。

まとめ：顧客の権利を尊重したGDPR対策を実現するには

今回は、GDPR対策におけるポイントや取るべき対応方法について解説し、日本企業へ与える影響と対応のポイントについてもお伝えしました。
GDPRは、欧州連合（EU加盟国）で適用された個人データ保護規則であるものの、違反した場合には、日本企業も罰則の伴う無視できない規則である事は、お分かりいただけたでしょうか。また、GDPRのような個人データの保護規制を強める風潮は世界に広まっています。

・自社状況がGDPRの要件に満たしているか確認したい
・取引先からGDPRへの対策を求められている
・将来的にEUへの事業展開を考えており、準備したい
・GDPRの対策を行い、対外的にアピールしたい

株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートをご用意しております。
GDPRへの対応を検討している、またお悩みを抱える企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社 UPFにどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。