こんにちは、プランナーの堀です。

Google Analyticsのデータ削除のアラートや、Facebookの個人データ流出事件などでなにかと話題の、個人データ取り扱いに関する規則である『GDPR』。
対策を打たないといけないのはわかっているけど、範囲が幅広すぎてまずは何をすれば良いのかわからない、という方も多いのではないでしょうか。
まずは世間の動向をみてと言いたいところですが、そうのんびりもしていられません。
法律はすでに施行されていますし、例えばFacebookの個人データ流出事件がGDPR施行後だとすれば、Facebookはおよそ1,700億円(2017当時)もの制裁金を支払わなければならなかったのではというほどの規模感でもあります。

そこで今回は、GDPRに関して色々調べてみた中で、Web担当者視点で確認すべき項目についてご紹介できればと思います。


目次
■そもそもGDPRとは
・具体的に何が規制されるのか?
■日本の企業であってもGDPRの適応対象に!
・対象となる企業は?
・もし守らなければ、巨額の制裁金が課せられることも
■Web担当者として確認すべきことは?
■まとめ


そもそも「GDPR」とは?

GDPR(General Data Protection Regulation)とは、2018年5月25日にEUで施行された、個人情報に関わる新しい法律で、日本では「一般データ保護規則」と呼ばれています。

  • 具体的に何が規制されるのか?

EEA(※)域内に所在する「個人データ」の、「処理」「移転」を規制する法律であり、GDPRにおけるそれぞれの定義を具体的に掘り下げると、下記の通りになります。
※EEAとは:European Economic Areaの略で、欧州経済領域のこと。EUにノルウェー、アイスランド、リヒテンシュタインを加えた31ヵ国が含まれる。

1)個人データとは?
氏名、所在地データ、メールアドレス、クレジットカード情報、パスポート情報、などのいわゆる個人情報に含め、IPアドレスやCookie情報などのオンライン識別子も個人データとして取り扱われます。
ここで重要なのは、短期出張や旅行で、一時的にEEA域内に所在する日本人の個人データも含まれるということです。

2)処理とは?
メールアドレスの収集や、クレジットカード情報の保存、顧客の連絡先詳細の変更、上司の従業員業務評価の閲覧など、自動的手段であるか否かに関わらず、個人データに対して行われるすべての操作のことを指します。
EEA域内で商品やサービス提供をしている企業や、従業員雇用をしている企業は、日常的に何かしらの処理が行われているのではないでしょうか。

3)移転とは?
個人データを含んだ文書を郵便や電子メールで送付するなど、EEA域外の第三者に対して個人データを閲覧可能な状態にするための行為を指します。

参考:
EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項
EU一般データ保護規則(GDPR)の概要(前編)
EU一般データ保護規則(GDPR)の概要(後編)

日本の企業であってもGDPRの適応対象に!

GDPRはEUで定められた法律ですが、場合によっては日本の企業であっても適用対象となります。

  • 対象となる企業は?

1)EEA域内に子会社や支店、営業所などを有している企業
EEA域内の拠点がある場合、商品やサービスを提供する際の顧客の個人データを収集したり、従業員の個人データを持っていたりするので、EEA域内の拠点は当然GDPR適用対象となりますし、その個人データを日本の本社に移転させている場合も、GDPR適応対象となります。

※EEA域内から日本への個人データ移転には、別途標準的契約条項(SCC)の締結が必要になりますが、詳細に関してここでは省略します。

2)日本からEUに商品やサービスを提供している企業
こちらは、日本の本社が直接個人データを収集している形になるので、EEA域内に拠点がなかったとしても、GDPR適応対象となります。

3)EUから個人データの処理について委託を受けている企業
データセンター事業者やクラウドベンダーなどのように、EEA域内企業から個人データの処理を受託している日本企業も含まれます。

と、ここで注意が必要なのは、EUに拠点がないからといって無関係とは限らないということです。
IPアドレスやCookieも個人データの対象になるということは、Google Analyticsなど、Cookieに固有IDを付与すよる様なツール導入の際にも関係してきます。
自社のサイトにGoogle Analyticsを導入されている企業は少なくないかと思いますが、たとえ担当者自身がGoogle Analyticsを見ていなくとも、サイトに導入されている時点でGDPRの規制対象になる可能性があるのです。

参考:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

  • もし守らなければ、巨額の制裁金が課せられることも

冒頭でFacebookを例に出しましたが、GDPRに違反すれば最高で数十億円以上の巨額の制裁金が課せられることも。
場合によりけりですが、例えば「適法に個人データを処理しなかった場合」「個人データ移転の条件に従わなかった場合」などは、2000万ユーロまたは全世界年間売り上げ高の4%のいずれか高い方が適用されます。
2000万ユーロは、1ユーロ=128円(2018/6/5時点)とした場合、日本円に換算するとおよそ26億円にもなってしまいます。

Web担当者として確認すべきことは?

EEA域内へ商品やサービスを提供している企業は当然ながら、そうでない企業もEEA域内からCookie情報を取得しているのであれば、GDPRの対策をする必要があります。

具体的には、下記のようなことが対応策として挙げられます。

事業に必要なデータの用途と処理過程を定義する
それを訪問者へ分かりやすく説明する(プライバシーポリシーやCookieポリシー、入力フォーム掲載ページで)
GDPRに対応できる体制やルール、機能を持ったツールや委託先を選ぶ
データ取得と用途について、訪問者から事前の明示的な同意を得る
訪問者からデータの確認や削除要求を受けた場合は対応する
目的達成に必要な保管期間を過ぎたデータは削除する

引用:清水誠氏/GDPRの対策としてWebアナリストがすべきこと

個人情報の取り扱いについてサイト上で明示することはもちろんのこと、ユーザーの目にとまりやすい位置に個人データ提供の同意に関してのお知らせを表示させると共に、必要であればデータ提供拒否(オプトアウト)の方法をきちんと説明することが必要となってきます。
よく利用されているツールの例として、Google Analyticsの場合はプライバシーポリシーで”データ収集のためのCookie使用を必ず通知するもの”、としていますので、導入されている企業は特に注意が必要です。

GDPRの適応範囲は非常に幅広く、また多岐にわたりますので、必要の際は専門家に確認することをお勧めします。

まとめ

欧州だけでなく「中国サイバーセキュリティー法」「APECの越境プライバシールール」など、世界各国で個人データに関連した保護規制が進む中、インターネット上での個人情報の取り扱いは、今後より一層の慎重さが求められてきます。5月25日に施行されたにも関わらず、まだGDPRの対策が完了していない企業もあるのではないでしょうか。

サイト運用面での対策としては、
・プライバシーポリシーの情報更新
・それをわかりやすくユーザーにお知らせする機能の実装
などは比較的作業負荷も少なく対応できますので、参考にしていただければと思います。
※弊社サイトでも上記の方法で対策を行いました。

GDPR対策に限らず、この記事が自社のプライバシーポリシーの記載がどうなっているか、きちんとユーザーへ個人データ収集に関しての説明ができているか、そもそも情報の取り扱い方法に不備はないかなど、色々と見直すきっかけになればと幸いです。