GDPRとは
2018年5月25日に、GDPRが施行されました。
GDPRとは、「General Data Protection Regulation」の略で、「EU一般データ保護規則」とも呼ばれます。
GDPRは、EUを含む欧州経済領域(EEA)で取得した個人データ(氏名やメールアドレスなど)を保護するための決まりです(EUを含む欧州経済領域(EEA)とは、この記事の執筆時点では、EU加盟国28カ国およびアイスランド、リヒテンシュタイン、ノルウェーです)。
参考資料
この記事は、 EU 一般データ保護規則(GDPR)について | EU - 欧州 - 国・地域別に見る - ジェトロ を参考にしています。引用元の記載がない場合は、こちらの記事から引用しています。
こちらのサイトで配布している資料には、以下のように書かれています。
GDPR に詳しいウィルマーヘイル法律事務所ブリュッセルオフィスの杉本武重弁護士(日本国、ブリュッセル(準会員)、米国ニューヨーク州)に委託し、本レポートを作成した
このような実用的な資料を作成・配布してくださったJETRO様には大変感謝しています。
免責条項
本レポートで提供している情報は、ご利用される方のご判断・責任においてご使用ください。ジェトロでは、できるだけ正確な情報の提供を心掛けておりますが、本レポートで提供した内容に関連して、ご利用される方が不利益等を被る事態が生じたとしても、ジェトロおよび執筆者は一切の責任を負いかねますので、ご了承ください。
先ほどの資料にも上記のように書かれていますが、この記事も同様で一切の責任を負いかねます。
法律問題は解釈次第で判断が異なる可能性があります。基本的には法務部や顧問弁護士と相談して対応を決めてもらうのが安全です。
GDPRの概要
さて、それではGDPRの概要をみていきましょう。
GDPRの適用対象
GDPRが対象とする個人データは、
識別された、または識別され得る自然人に関するすべての情報
とあります。
個人データとしてパッと思い浮かべる「氏名」や「所在地」などはもちろん、「IPアドレス」や「クッキー」などのオンラインデータや、「身体的、生理学的、遺伝子的」なデータなども含まれます。
また、対象となる個人は、EEA内の個人すべてです。国籍や居住地などを問わないだけでなく、短期出張や短期旅行でEEA内に所在する個人も含まれるのでご注意ください。
GDPRの適用範囲
GDPRは、営利企業だけでなく、公的機関・地方自治体・非営利法人なども適用対象に含まれます(外交・防衛・警察などについて例外があるそうです)。
EEA内に子会社や支店などの拠点がある場合にはGDPRが適用されますが、EEA内に拠点がない場合でもGDPRが適用される可能性があるので注意が必要です。
EEA内に拠点がなくてもGDPRが適用されるのは、以下のふたつの場合です。
- 1.EEA内の個人に対して商品やサービスを提供している場合
例えば、日本本社のウェブサイトで EEA 所在者に対して商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は、本社に対して GDPR が直接、適用され得ることに注意が必要である。
ただし、 経済産業省の資料 によると、
どのような言語や通貨が使用されているか、EU域内の個人に関する言及があるか、商品やサービスの提供範囲等を考慮して判断され、単に英語のウェブサイトを載せているだけでは適用されません。
とあるので、あきらかにEEA内の個人をターゲットにしている場合に限られるようです。
- 2.EEA内の個人の行動を監視する場合
例:アプリやウェブサイトにおける個人の行動履歴や購買履歴の追跡等
経済産業省の資料より引用
GDPRに違反した場合の制裁
違反した場合の制裁金は、以下のふたとおりです。
1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方
記事執筆時点のレートでは、1,000万ユーロは約12億円です。
じゅうにおくえん……
GDPRへの対応
GDPRに対応するために、どのようなことをする必要があるのでしょうか?
経済産業省の資料には、事業者の義務の例として以下のようにまとめられています。
| 概要 | 内容 |
|---|---|
| 通知 | 個人データを取得する際には、取扱者は、当該データを取り扱う目的、保管する期間等を通知しなければなりません。 |
| 同意 | 本人から個人データの取扱いについて明確な同意を得る必要があります。 |
| アクセス権 | 本人が自らの個人情報にアクセス(開示等)できるようにしなければなりません。 |
| センシティブデータ | センシティブデータ(健康、人種、性的指向、信仰、政治的信条に関する情報等)については原則として取扱いが禁止されます。 |
| 代理人選任義務 | GDPRの適用があるEU域内に拠点のない事業者は、原則として、EU域内の代理人を書面により選任しなければなりません。 |
| 個人データ侵害の通知義務 | 個人データの侵害が発生した場合、原則として、72時間以内に、管轄監督機関に通知しなければなりません。高いリスクを引き起こし得る場合、本人に個人データの侵害について通知しなければなりません。 |
| データ保護オフィサー | 一定の場合には、組織内部においてGDPRの遵守を監視するデータ保護責任者を選任しなければなりません。 |
いろいろありますが、基本的には個人のデータはその個人のものである、という原則にしたがってデータを扱うような内容になっています。
たとえば、個人データを収集するときは、まず本人の同意をはっきりと得る必要があります。さらに、個人のデータをどのように管理するかについて一定の情報(プライバシーポリシーなど)を提示する必要があります。
また、個人から要請があれば、データを提示したり、訂正したり、削除できるようにする必要があります。
こちらのサイトに対応に関する確認事項がまとめられているので、合わせてご確認ください。
GDPR確認事項 | Adjustブログ | Adjust
こちらのサイトでは、Webサイト向けのツールを紹介しています。
クラスメソッド・ヨーロッパ、GDPR対応用Cookieマネージメントツールを提供するデンマーク・Cybot社とのパートナー契約を締結|クラスメソッド株式会社のプレスリリース
まとめ
GoogleとFacebook、GDPR施行初日にさっそく提訴される - ITmedia NEWS
こちらの記事にあるように、さっそくGDPRに関連する訴訟が起きています。
今回はGoogleやFacebookといった大企業が対象ですが、いつ自社が対象になるかわかりません。巨額な制裁金に目が向きがちですが、これほどネットが普及した社会では個人情報を適切に扱うことはとても大切です。
これを機会に、個人情報の取り扱いをしっかりと見直すといいのではないでしょうか。