個人情報に関する法律「GDPR」をご存知ですか?なんとなく聞いたことあるけどEUの法律だから日本では日本の法律を守ればいいんでしょう?と思っているとキケンです。日本で運営しているウェブサイトでも対応範囲に入ってきます。事前に対応をしておかないと、とんでもない罰則を与えられる可能性があります。インターネットを介するとユーザーとなる人の国籍は予想できなくなります。あなたのサービスも知らないうちにEU圏内の方に使われているかもしれません。その可能性は決して否定できるものではないのです。
GDPR(EU一般データ保護規則)
2018年5月25日よりEU域内において適用が開始された個人データの運用に関する法律です。EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。端的に言えば「個人データ」の「処理」と「移転」に関する法律です。GDPRの適応により、個人データを収集、処理をする事業者に対して、多くの義務が課されることになりました。
今回は記事ではGDPRについて、日本国内の事業者として対応しておくべき点をまとめていきます。これまでもデータ保護指令というルールは存在していたようですが、同じEU内でも国によって規制内容が異なっていたことから、ルールを統一する目的でGDPRが制定されました。日本でマイナンバーの普及に伴って2017年に施行開始された、改正個人情報保護法のEU域版といった感じですがGDPRのほうが厳格で罰則も厳しいと言われています。
参考NEWS記事の紹介となってしまいますが、国内企業で第一例目かと話題になった「日本企業初の「GDPR」違反の可能性、プリンスホテルなど -DIAMOND online」事例や、「グーグルの「GDPR」違反から見えた、個人データ収集を巡るいくつかの課題 – WIRED」からも事の深刻さは理解できるのではないでしょうか。
GDPRの影響を受ける日本の組織
今回の法規制における最大のポイントが、日本の企業・ウェブサイトも例外ではないということです。域内(EU加盟国 28カ国とアイスランドとリヒテンシュタイン、ノルウェー)で取得した「個人データ」を域外に「移転」することは原則禁止されており、日本のような域外へ移転させるには、『移転先の国、地域が十分に個人データ保護されている』か、『個々のサイトや企業が適切な保護措置を行っている』ことが条件になってきます。
日本は現在のところ残念ながら「個人情報保護が十分なレベル」とは認められていないため、個々の企業・ウェブサイトがそれぞれ厳格な対応を行わなければならないのです。日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。
- EUに子会社、支店、営業所、駐在員事務所を有している
- 日本からEUに商品やサービスを提供している
- EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)
例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。2番目のEU圏内に日本からサービスを提供している場合というのが、国内事業者が気を付けなければいけないポイントです。知らず知らずのうちにGDPR違反とならないようにしっかりとした対応を行っておきましょう。海外に拠点を持っていない場合でも、EU居住者が日本のWebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。
GDPRにおいて把握しておきべきポイント
GDPRの適用対象
GDPRの保護対象となる「個人データ」には、域内に居る個人のデータが対象(国籍やどこに住んでいるかを問わない)であることはもちろん、地域に短期出張や旅行、出向している個人のデータも含みます。
さらには、日本などの第三国から域内に送付された個人データも対象になります。完全に匿名化されたデータは対象外となるようです。
GDPRの適用範囲
GDPRは、域内に設立された企業やサイト、団体はもちろんのこと域外であっても、個人データの対象に対して商品またはサービスを提供する場合や個人データの対象の行動を監視する場合、適用範囲に含みます。つまり、WEBサイトの場合は域内からのアクセスを遮断しない限りGDPRの適用範囲になる可能性が十分にありえるということになります。
個人データの範囲
一口に個人データと言っても、内容はさまざまですが、現時点でJETROサイトに上がっているGDPRで保護の対象となる個人データの例は以下のようになっています。
- 氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス、クッキー識別子)
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
IPアドレスやクッキーについても個人情報とされていることから、アクセス解析やWEB広告を導入している場合、注意が必要です。
GDPR違反に対する罰則
GDPRに違反した場合、制裁内容によって下記の2パターンの上限金額に基づいた制裁金を請求される可能性があります。
- 1,000万ユーロ(約13億円)、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
- 2,000万ユーロ(約26億円)、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方
※「全世界売上高」というのはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることを意味します。
とはいえ、いきなり制裁金を科せられるわけではなく、制裁金を請求されるまでに、警告や保護監査などの段階を踏むみたいなので後からも対応の余地は今のところありそうです。
具体的な対応策
データの収集および利用目的について利用者に明示的に同意してもらう必要があります。
前出の通り、日本においてはまだ十分に個人データ保護されている国と認められていない為、標準契約条項(Standard Contractual Clauses:SCC)」の締結、または「拘束的企業準則(Binding Corporate Rules: BCR)」を承認してもらわないといけないそうです。
法律関係は複雑で、勝手な認識違いは命取りになりますので、可能性がある事業サイトを運営されている場合は、詳細は担当弁護士さん、またはEU関連の法律に詳しい弁護士さんに相談するようにしましょう。
参考:日本貿易振興機構(ジェトロ)発行
EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)
1.GDPR関連規定の作成
自社が扱う個人データがどのようなもので、どういった経路で入手しているのか(どういった経路で入手予定か)を把握する必要があります。それらのボリュームと、個人データを扱う予定の拠点数や従業員数なども割り出します。そのうえで、GDPR関連の自社規定を策定する必要があります。
例:IBMのプライバシーステートメント、BMWのプライバシーステートメント
2.データ保護責任者を置き、社内体制を整備する。
GDPRでは、以下の4つに該当しなければDPO(データ保護責任者)の設置が義務づけられているわけではありませんが、GDPR 関連業務をスムーズに行うためにも明確な責任者がいた方が良いでしょう。
- 処理が公的機関または団体によって行われる場合(ただし、司法能力をもとにした裁判所の行為を除く)
- 管理者または処理者の中心的業務が、その性質、適用範囲及び/または目的によって、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合
- 管理者または処理者の中心的業務が、第9条で言及された特別な種類のデータおよび第10条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合
- EU法または加盟国の国内法でDPOの選任が義務付けられている場合
3.現行サービスをGDPRに対応する為に改修、バージョンアップする
現状、提供しているサービスがユーザーのメールアドレスや氏名などの個人情報やクッキーを取得している場合は対応するカタチにバージョンアップをする必要がでてきます。具体的にはオプトイン(個人情報取得に対する許可に応じること)を設けることやポップアップ表示などで個人データ、クッキー取得を明確な許可・同意をもらうように改修する必要があります。
ユーザーが個人データ取得に関して「はい」か「いいえ」を選択できるようにするほか、セミナー参加など、一時的な情報利用のケースでは、セミナー開催後の個人データ削除を希望するかを尋ねるフォームを用意し、アクション後にすみやかに削除する仕組みを作る必要がでてきます。
4.社内、サービスに関わる全員の理解度を向上する
GDPR対策を確実に行うためには社員全員がGDPRとGDPR対策について理解している必要があります。個人データを扱う部署に対しては特に重点的に研修などを行って周知徹底に務めましょう。
5.障害が起きたときのフローを構築する
GDPRでは、個人データが侵害されるインシデント(障害)が起きた際、72時間以内に監督機関へ報告することを義務づけています。ただし、インシデント発生から72時間ではなく、インシデントの可能性を認知した時点から72時間とされている点に注意が必要です。報告が72時間を過ぎた場合も違反とみなされ制裁がとられると記載があります。インシデント(障害)発生時のフローを見直し、最適化に向けて改善して備える必要があります。
まとめ
GDPR対策については、システムの変更や修正だけでなく、社内での個人情報の取り扱いについても改めて見直す機会になるかと思います。GDPRの施行を経て、これまではクッキーを含む個人情報の提供により無料で提供されてきたネットサービスは大きく変容を迫られてくるでしょう。今回のような法規制の厳格化は規則が増えるばかりで対応が大変になる…とネガティブな印象が大きいかもしれません。しかし、このような法整備を受け身にとらえるのではなく、これを機に、ユーザにとって一層安心できるウェブサイト作りを心掛けていくように考えていきましょう。個人情報保護をユーザーとのよりよい関係づくりと捉え、本質的に取り組むことでより良いサービスへ成長することが必要です。
GDPRに関して都合の良い判断をするのはとてもキケンなことです。余裕を持った段階から外部の専門家の力を借りるなど、十分な体制・ルールを整えることを検討していきましょう。