「GDPRってどんな法律?」
「EUの個人情報保護法のようなものだと聞いたけれど、日本企業にも関係あるもの? 日本企業は何をすればいい?」
この記事を読んでいる方は、そのような疑問を持っていることでしょう。
「GDPR(一般データ保護規則)」は、EU域内での個人情報データ保護を目的として定められた法令です。
その内容を、簡単にまとめると以下です。
| どんなデータを保護するの? | EEA(European Economic Area=欧州経済領域)域内で取得された「個人データ」 →氏名、所在地、メールアドレスなど ※オンライン識別子(IP アドレス、クッキー識別子)も含まれます |
| どんな場合に保護するの? | データを「処理」するときと「移転」するとき |
| どんなふうに保護するの? | データを取り扱う企業・団体は、以下のことを義務付けられます ・適切なセキュリティ措置をとって個人データを守る ・個人データを処理したときは、内部記録をとって保管する ・もし個人データが侵害されたら、監督期間と本人に知らせる ・本人から個人データの開示や削除、訂正などを求められたらスムーズに応じる など |
| 日本企業も関係あるの? | 以下のような場合は、日本企業もGDPRに従わなければなりません ・EEA域内に子会社や支店がある ・EEA域内に施設はなくても、域内の個人に商品やサービスを提供している ・EEA域内で取得した個人データを、域外に持ち出して処理している ・EEA域内の業者から個人データの処理について委託を受けているなど |
| 守らなければどうなるの? | GDPRに違反した場合、以下のどちらかの制裁金が課せられます ・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方 ・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方 |
つまり、EUにビジネス展開している企業の多くは対象となりますし、国内拠点のみで事業を行なっている企業も、以下のような場合は対象です。
・インターネット通販でEUからも注文があり、送付や決済で個人データを利用している企業
・EU域内に個人データを扱うデータベースやサーバーを設置している企業
・英語版のサイトなどを運営していて、そこでEUのユーザーからCookieなどを取得している企業
対象となる企業は、EU域内の個人データを取り扱う際に、以下の義務を守らなければなりません。
<対象企業の義務>
| ・個人データは適法に処理する ・データ保護責任者を設置する ・プライバシーポリシーを作成する ・Cookieポリシーを作成する ・データのセキュリティ対策を行う ・個人の権利に対応する ・データ処理の記録を残す ・場合によってデータ保護影響評価を実施する ・データの取り扱いに問題があった場合、72時間以内に報告する |
もし違反すれば、以下の制裁金を課せられ、場合によっては数十億円単位を支払う恐れがあるのです。
・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方
そこでこの記事では、GDPR についてできるだけわかりやすくまとめました。
◎GDPRとは?
◎GDPR施行の背景と目的
◎適用対象
◎課せられる義務・責任
◎制裁金
◎個人情報保護法との違い
◎GDPRが適用される日本企業
◎GDPRにのっとってすべきこと9つ
◎GDPRの注意点
最後まで読めば、知りたいことがわかるでしょう。
この記事で、あなたの会社がGDPRを適切に守ることができるよう願っています。
1. GDPRとは
「GDPR(一般データ保護規則)」は、EU域内での個人情報データ保護を目的として定められた法令です。
が、日本企業にも適用されるものですので、どのような法令か、概要は知っておかなければなりません。
その内容を、簡単にまとめると以下です。
| どんなデータを保護するの? | EEA(European Economic Area=欧州経済領域)域内で取得された「個人データ」→氏名、所在地、メールアドレスなど ※オンライン識別子(IP アドレス、クッキー識別子)も含まれます |
| どんな場合に保護するの? | データを「処理」するときと「移転」するとき |
| どんなふうに保護するの? | データを取り扱う企業・団体は、以下のことを義務付けられます ・適切なセキュリティ措置をとって個人データを守る ・個人データを処理したときは、内部記録をとって保管する ・もし個人データが侵害されたら、監督期間と本人に知らせる ・本人から個人データの開示や削除、訂正などを求められたらスムーズに応じる など |
| 日本企業も関係あるの? | 以下のような場合は、日本企業もGDPRに従わなければなりません ・EEA域内に子会社や支店がある ・EEA域内に施設はなくても、域内の個人に商品やサービスを提供している ・EEA域内で取得した個人データを、域外に持ち出して処理している ・EEA域内の業者から個人データの処理について委託を受けているなど |
| 守らなければどうなるの? | GDPRに違反した場合、以下のどちらかの制裁金が課せられます ・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方 ・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方 |
では、もう少しくわしく説明していきましょう。
1-1. GDPR(一般データ保護規則)とは?
「GDPR」は「General Data Protection Regulation」の頭文字をとったもので、「一般データ保護規則」と訳されます。
EU域内での個人情報データ保護を目的として定められた法令で、「個人データ」の「処理」と「移転」に関して細かく規定したものです。
日本でいえば、「個人情報保護法」にあたり、2018年5月25日から適用が開始されました。
その概要をまとめましたので、まずは以下を見てください。
| GDPR(一般データ保護規則)の概要 | ||
| 対象となるデータ | EEA(European Economic Area=欧州経済領域)域内で取得した「個人データ」※EEA:EUとアイスランド、ノルウェー、リヒテンシュタイン 【個人データの例】 ・人の氏名 ・識別番号 ・所在地データ ・メールアドレス ・オンライン識別子(IP アドレス、クッキー識別子) ・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因 | |
| 適用される事柄 | 個人データの「処理」と「移転」 【処理の例】 ・クレジットカード情報の保存 ・メールアドレスの収集 ・顧客の連絡先詳細の変更 ・顧客の氏名の開示 ・上司の従業員業務評価の閲覧 ・データ主体のオンライン識別子の削除 ・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成 【移転の例】 ・個人データを含んだ電子形式の文書を電子メールで EEA 域外に送付すること | |
| 適用範囲 | 管理者、または処理者が EEA域外で設立されたものでも、以下の場合には適用される ・EEAのデータ主体に対して商品またはサービスを提供する場合 ・EEAのデータ主体の行動を監視する場合 【日本企業で適用される例】 ・EEA域内に子会社や支店がある ・EEA域内に施設はなくても、域内の個人に商品やサービスを提供している ・EEA域内で取得した個人データを、域外に持ち出して処理している ・EEA域内の業者から個人データの処理について委託を受けている | |
| 主な規定 | ・説明責任:管理者は、GDPRの要件を遵守し、それを説明できるようにする ・遵守実証の対策の実施:以下のことを実施する
・個人データのセキュリティに関する義務:適切なセキュリティ措置を実施し、もし個人データが侵害された場合は、監督機関およびデータ主体に通知する | |
| 制裁金 | GDPRに違反した場合、以下の2通りを上限とする制裁金が課せられる ・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方 ・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方 | |
では、くわしく説明していきましょう。
※「GDPRの内容についてはくわしく知らなくてもいい、それより自分たち日本企業がどうすればいいかだけ知りたい」という場合は、「2. GDPRが適用される日本企業」から読んでください。
1-2. GDPR施行の背景と目的
GDPRが施行される以前、EUでの個人情報に関しては「データ保護指令」という指標が定められていました。
が、これは法令ではなく「指令」であり、実際に個人情報をどう取り扱うかの法的な規定はEU各国で異なっていました。
そのため、各国間でのビジネスをする際に、相手の国とは個人データの取り扱いが異なることでさまざまな不便があり、ルールを統一するためにGDPRが定められたのです。
これにより、バラバラだった各国のデータ保護法は廃止され、加盟国はすべてGDPRに従うこととなりました。
1-3. 適用対象
GDPRは「個人データ」の「処理」と「移転」に関する法令だといいましたが、ではその「個人データ」にはどんなものが含まれるのでしょうか?
また、「処理」「移転」とは具体的にはどんなことを指すのでしょうか?
日本貿易振興機構(ジェトロ)の「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編)」では、以下のように説明されています。
【適用対象の概念と例】
| 概念 | 意味 | 例 |
| 個人データ | 識別された、または識別され得る自然人(「データ主体」)に関するすべての情報 | ・自然人の氏名 ・識別番号 ・所在地データ ・メールアドレス ・オンライン識別子(IP アドレス、クッキー識別子) ・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因 ※日本の「個人情報保護法」で個人情報とされるものに加えて「オンライン識別子」が含まれるのがポイント |
| 処理 | 自動的な手段であるか否かに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業 | ・クレジットカード情報の保存 ・メールアドレスの収集 ・顧客の連絡先詳細の変更 ・顧客の氏名の開示 ・上司の従業員業務評価の閲覧 ・データ主体のオンライン識別子の削除 ・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成 |
| 移転 | GDPR に定義なし。あえて定義すれば、EEA 域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為 | ・個人データを含んだ電子形式の文書を電子メールで EEA 域外に送付することは「移転」に該当する |
出典:日本貿易振興機構(ジェトロ)
「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編)」
ちなみに、GDPRで保護される「個人データ」の「個人」とは、「EEA(=欧州経済領域)の域内に所在する個人」で、国籍や居住地などは問いません。
つまり、EEAにいる日本人も含まれます。
ということは、以下のようなケースもGDPRに従って保護、取り扱いしなければなりません。
・短期出張や短期旅行でEEA域内に所在する日本人の個人データ
・日本企業からEEA域内に出向した従業員の情報(元は日本から EEA内に移転した情報)
・日本からEEA域内に送付された個人データ
・上記の個人データを日本へ移転する場合
このような、日本人のデータや日本企業が取り扱う個人データに関しては、「2. GDPRが適用される日本企業」でくわしく説明します。
1-4. 課せられる義務・責任
では、前項の個人データに関して、何をしなければいけないと規定されているのでしょうか?
GDPRでは、個人データを保護するため、以下のような義務や責任を課しています。
※赤字の部分は、特に日本企業が注意したい項目です。
| 課せられる義務など | 内容 | |
| 全体について | EU 代理人を選任する義務(第 27 条) | ◎EU域内に拠点を持たない企業は、代理人を選任しなければならない可能性がある。 (※図①で判断する) ◎その場合、EU代理人を、個人データが処理されるデータ主体が居住する加盟国の中のひとつに設置する。 |
| 個人データの「処理」について | 説明責任(第 5 条(2)) | ◎管理者はGDPR の要件を確実に遵守し、それを実証できなければならない。 |
| 遵守実証の対策の実施(第24-30; 37-39条) | 説明責任を果たすため、以下を実施する。 ◎内部記録:管理者および処理者は、個人データの処理行為の内部記録を保持しなければならない。 | |
| 個人データのセキュリティに関する義務(第 4 条(12)、第32-36 条) | ◎個人データのセキュリティ要件:適切なセキュリティ措置の実施 ◎個人データの侵害通知:個人データの不慮または不法な破壊、喪失、改ざん、無断開示・アクセスに繋がる保護安全性の侵害があった場合は、監督機関およびデータ主体に通知しなければならない。 | |
| データ主体の権利の尊重(第12~22 条) | ◎データ主体の権利:管理者は、データ主体の以下の権利を尊重し、その行使を円滑にする必要がある。→情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、自動的な個人の意思決定に関する権利 | |
| 情報権(第 13条、第 14条) | ◎管理者は、データ主体から個人データを収集する場合、データ入手時に、データ主体に一定の情報を提供しなければならない。 | |
| アクセス権(第15条) | ◎管理者は、データ主体から処理が行われている個人データへのアクセスの請求があれば、そのコピーを提供しなければならない。 | |
| 訂正の権利 (第16条) | ◎不正確な自身の個人データに関しては、訂正を管理者に求める権利を有する。 | |
| 削除権(第 17条(1)) | ◎一定の場合、データ主体は自分に関する個人データを管理者に遅滞なく削除させる権利を有する。 | |
| 制限権(第 18条) | ◎データ主体は、管理者に対して一定の場合に個人データ処理を制限する権利を有する。 | |
| データポータビリティの権利(第 20条) | ◎データ主体は自分に係わる個人データを、一般的に使用できて機械によって読み取り可能な形式で受け取る権利を有する。 | |
| 異議権(第 21条) | ◎データ主体は、自己の個人データの処理に異議を唱える権利を有する。 | |
| 自動化された個人の判断に関する権利(第 22条) | ◎データ主体は、自分に対する法的影響を生じ得るような、自動処理のみに基づいた判断の対象にはならない権利を有する。→例:人が介入しないオンライン上での借入申込や、インターネットでの採用活動など | |
| 個人データの「移転」について | ◎EEA域外への個人データの移転は原則として違法である。 →ただし、移転先の国・地域に「十分性」(法整備などに基づき、十分に個人データ保護を講じていること)が認められた場合、または適切な保護措置を取った場合などには、例外的に適法となる。 (※図②で判断する) ※日本は「十分性」を認定されているので、移転は適法です。 | |
【図①:EU 代理人が必要かどうか】
【図②:個人データを移転できるかどうか】
出典:日本貿易振興機構(ジェトロ)
「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編)」
1-5. 制裁金
前述のように、GDPRでは個人データを取り扱う際に、さまざまな規定を設けています。
もし企業などがGDPRに違反した場合は、厳しい制裁金が課せられますので注意してください。
制裁金の上限額は、以下のように定められています。
・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方
どちらの上限が適用されるか、また具体的な金額は、その違反の性質や重大性、被害を受けた人数などによってケースバイケースで決められます。
ただ、売上高が大きい企業ほど、莫大な制裁金を課せられるリスクがあるわけです。
実際に、以下のような巨額の制裁金が言い渡された事例があります。
・Amazon:顧客データの処理に関する違反で7億4,600万ユーロ(約970億円)
→ ただし、Amazon側は異議申し立て
・Google:個人データの利用目的の説明違反で5,000万ユーロ(約62億円)
・H&M:従業員の個人データの保管に関する違反で3,500万ユーロ(約45億円)など
EUが個人データ保護をいかに重要視しているかがわかるでしょう。
1-6. 個人情報保護法との違い
さて、前述したようにGDPRは、日本でいえば「個人情報保護法」にあたります。
が、もちろん両者の規制内容には違いもありますので、日本企業が個人情報保護法と同じつもりで対応すると、GDPR違反になってしまう恐れもあるでしょう。
そこで、両者の違いを知っておきましょう。
以下の比較表を見てください。
| GDPR | 個人情報保護法 | |
| 対象者 | ・EU居住者・EUに拠点のある組織 | ・個人情報取扱事業者 →企業、自治体、個人事業主など |
| 保護対象 | 個人を特定できる情報→氏名、住所、電話番号、IPアドレス、Cookie情報、IDFAなどを含む | 個人を特定できる情報 →氏名、住所、Cookie情報などを含む ※電話番号やIPアドレスは含まない |
| パーミッションの条件 | 本人からの明確な同意が必要 | プライバシーポリシーの明示 ※第三者へ提供する場合は、本人の同意が必要 |
| 罰金 | ・法人:数十億〜数百億円の制裁金も | ・個人:50万円または100万円以下の罰金 ・法人:最大1億円の罰金 |
比較すると、GDPRの方が保護対象が広く、電話番号やIPアドレスも含まれます。
また、個人データを取り扱う際には、GDPRはすべてにおいて本人の同意が必要ですが、個人情報保護法では第三者にデータを提供する場合以外は、プライバシーポリシーの明示だけで問題ありません。
つまり、WEBサイトなどでCookieを取得する際には、GDPRでは本人のはっきりとした同意が必要、個人情報保護法では第三者に提供する場合のみ本人の同意が必要、となるわけです。
これらを踏まえると、全体的にGDPRの方が規制が厳しいと言えそうです。
罰金額にも大きな差があります。
となると、EUが関わるビジネスを手がける企業は、GDPRをよく理解した上で遵守する必要があるでしょう。
2. GDPRが適用される日本企業
では、日本企業は具体的にどう対応すればいいのでしょうか?
GDPRが適用されるのはどんな日本企業でしょうか?
2-1. GDPRが適用される日本企業
もちろん、日本企業のすべてがGDPRを守らなければならないわけではありません。
EUの法令ですので、EUとビジネス上で何らかの関わりがある企業にのみGDPRは適用されます。
具体的には、以下に該当する企業がGDPRに対応することを求められています。
| 【GDPRが適用される日本企業の例】 ・EU域内に子会社や支店、営業所などを持っている企業 ・日本からEU域内に商品やサービスを提供している企業 ・EU域内から個人データの処理について委託を受けている企業 など |
海外にビジネス展開している企業の多くは、対象となるでしょう。
また、国内拠点のみで事業を行なっている企業も、これに含まれるケースがあります。
たとえば、以下のような例です。
・インターネット通販でEUからも注文があり、送付や決済で個人データを利用している企業
→そのデータに関してはGDPRの規定に沿った取り扱いが必要
・EU域内に個人データを扱うデータベースやサーバーを設置している企業
・英語版のサイトなどを運営していて、そこでEUのユーザーからCookieなどを取得している企業
→日本の個人情報保護法ではCookieは保護対象外だが、GDPRでは保護すべきデータに該当
となると、日本企業のうちかなり多数が該当するはずです。
「個人情報の取り扱いに関しては、個人情報保護法に沿ってきちんと対応している」という企業でも、GDPRに合わせてさらに厳密な対応を取る必要があるでしょう。
2-2. GDPRが適用されるケース
前項で、自社がGDPRに対応する必要があるかどうかがわかったと思います。
では次に、どんな場合にGDPRにしたがう必要があるでしょうか?
日本企業が事業を行う中で、GDPRが適用されるのは以下のような場合です。
| 【日本企業でGDPRが適用されるケース】 ・管理者または処理者がEEA(=欧州経済領域)域内で行う「処理」に対して適用される ・管理者または処理者がEEA域内に拠点を持たない場合でも、以下のいずれかの場合には適用される → EEAのデータ主体に対し、商品またはサービスを提供する場合 EEAのデータ主体の行動を監視する場合 |
この「処理」とは、「1-3. 適用対象」 で定義を説明したように、以下のようなことを指します。
| 概念 | 意味 | 例 |
| 処理 | 自動的な手段であるか否かに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業 | ・クレジットカード情報の保存 ・メールアドレスの収集・顧客の連絡先詳細の変更 ・顧客の氏名の開示 ・上司の従業員業務評価の閲覧 ・データ主体のオンライン識別子の削除 ・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成 |
つまり、日本企業がEEA(=欧州経済領域)域内にいる人に商品やサービスを提供していて、個人データ(IPアドレスやCookieなども含む)を取得した場合、そのデータの保存や変更、削除、リスト化などあらゆる取り扱いは、GDPRにのっとって行う必要があるわけです。
さらに、以下のようなケースでもGDPRが適用されますので注意してください。
・短期出張や短期旅行でEEA域内にいる日本人の個人データを、日本に移転する場合
・日本からEEA域内に個人データを送付する場合
・日本からEEA域内に個人データが送付され、EEA域内で処理された個人データを日本へ移転する場合
・日本企業からEEA域内に出向した従業員の情報(元は日本からEEA内に移転した情報)
| 【日本はGDPRの「十分性認定」を受けている】 「1-4. 課せられる義務・責任」の表で挙げましたが、個人データの「移転」について、GDPRでは以下のように規定されています。 ◎EEA域外への個人データの移転は原則として違法→ただし、移転先の国・地域に「十分性」(法整備などに基づき、十分に個人データ保護を講じていること)が認められた場合、または適切な保護措置を取った場合などには、例外的に適法となる 日本は、この「十分性」の認定を受けている国のひとつです。認定を受けていない国は、もしEEA域内から個人データを移転させたい場合は、移転元と移転先との間でデータ保護に関する契約などをいちいち結ばなければなりません。が、日本企業はその必要はないのです。 これは、認定のない国の企業と比較して、ビジネスの上で大きなアドバンテージだと言えます。ただ、もちろん移転する際には、個人データの取り扱いはGDPRの規定に従わなければいけないことは、認定国も非認定国も変わりはありません。 |
3. GDPRにのっとってすべきこと9つ
では、GDPRが適用される日本企業が、適用されるケースにおいて個人データを扱う場合、GDPRにのっとって何をしなければならないのでしょうか?
それは主に、以下の9点です。
・個人データは適法に処理する
・データ保護責任者を設置する
・プライバシーポリシーを作成する
・Cookieポリシーを作成する
・データのセキュリティ対策を行う
・個人の権利に対応する
・データ処理の記録を残す
・場合によってデータ保護影響評価を実施する・データの取り扱いに問題があった場合、72時間以内に報告する
くわしく説明しましょう。
3-1. 個人データは適法に処理する
GDPRでは、個人データの「処理」に際して、管理者に以下の6つの原則を遵守するよう義務付けています。
そのため、日本企業もまず第一にこれらを守り、さらにそれを守っていることを証明できる状態にしておく必要があります(=説明責任)。
出典:日本貿易振興機構(ジェトロ)
「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編)」
個人データを取り扱う際には、つねにこの6つの原則に沿っているかを確認してください。
3-2. データ保護責任者を設置する
もうひとつ重要なのが、「データ保護責任者(=Data Protection Officer/DPO)」を選任することです。
DPOは、個人データの「処理」や「移転」に関して、GDPRの規定に従って管理する責任者です。
その任務、選任、地位については、GDPRに以下のように定められています。
◎DPOの任務:個人データを処理する際に、従業員に助言したり、GDPRに従っているかを監視する
◎DPOの選任:GDPRについての専門知識と実務経験がある者を選ぶ
その企業の従業員から選んでもよいし、外部の専門家に業務委託してもよい
◎DPOの地位:DPOは任務に関してその企業から一切指示を受ける必要がなく、解雇や処罰もされない
DPOはその企業の最高経営レベルの者に直接報告を行う など
また、DPOを選任したら、その連絡先を公表し、監督機関に通知する必要があります。
3-3. プライバシーポリシーを作成する
次に、GDPRに即したプライバシーポリシーを作成してください。
多くの企業では、日本の個人情報保護法を踏まえたプライバシーポリシーを策定済みでしょう。
が、前述のように、GDPRは個人情報保護法よりも規定が厳格です。
そこで、現在の内容を見直し、GDPR向けに改訂する必要があるのです。
具体的には、以下の内容を盛り込みましょう。
・どのような個人データを取得するか
・個人データの取得目的
・個人データの保存期間
・個人データの利用方法
・第三者による開示、提供、共有があれば、どのように行うか
・どのようなセキュリティ施策をとるか
・Cookieなどの取扱い方法
・ポリシーを変更する際の手続き
・個人情報の開示、訂正、削除、追加、利用停止、消去はどのように行うか
・他地域へのデータ転送はどのように行うか
・連絡窓口
・制定、改訂日 など
3-4. Cookieポリシーを作成する
「1-6. 個人情報保護法との違い」でも挙げたように、GDPRではIPアドレスやCookieも個人データとして保護の対象になっています。
日本の個人情報保護法ではこれらは対象外ですので、あらためてCookieポリシーも作成しましょう。
その上で、Cookieを取得する際には、かならず同意を得てください。
WEBサイトの場合は、ポップアップでCookieの取得や利用についての説明と「同意する」「拒否する」ボタンを表示するのが一般的です。
3-5. データのセキュリティ対策を行う
GDPRの目的は個人データの保護ですので、データに対するセキュリティ対策も強化しなければなりません。
具体的には、GDPR第32条で以下の対策が求められています。
・個人データの仮名化または暗号化
・取扱システムおよび取扱サービスの現在の機密性、完全性、可用性、回復性を確保する能力
・物的または技術的なインシデントが発生した際に、適切な方法で個人データの可用性とそれに対するアクセスを復旧する能力
・取扱いの安全性を確保するために、技術上および組織上の措置の有効性を定期的にテストし、評価するための手順
つまり、データは仮名化・暗号化すること、現状のセキュリティレベルを維持すること、もしインシデント(=事件や事故)が発生した場合にもデータを復旧できるような対策を講じること、セキュリティに関するテストや評価を定期的に実施することの4点を行う必要があるわけです。
3-6. 個人の権利に対応する
また、GDPRでは個人データの主体(=データを取得される本人)にはさまざまな権利を認めています。
そのため、データを「処理」「移転」する企業は、データ主体がその権利をいつでも行使できるようにしておかなければなりません。
その権利とは、以下の7点です。
・自身に関するデータ(目的・種類・保存期間など)へのアクセス権(第15条)
・訂正の権利(第16条)
・消去の権利(「忘れられる権利」)(第17条)
・取扱いの制限の権利(第18条)
・データポータビリティの権利(第20条)
・プロファイリングを含む個人情報の取扱いに関して異議を申し立てる権利(第21条)
・プロファイリングを含む自動化された取扱いに基づいた決定の対象とされない権利(第22条)
たとえば、本人から「データを見せてほしい」「修正してほしい」「消してほしい」「◯◯には使わないでほしい」などの要求があれば、それに応えなければならないのです。
そのために、これらの要求を受け付けられる体制を整えたり、要求があればどのように対応するかを事前に定めたりする必要があるでしょう。
3-7. データ処理の記録を残す
また、個人データを「処理」した際には、内部記録を残す必要もあります。
記録する内容は以下です。
1)管理者、EU域内代理人、データ保護監督者(DPO)の名称・氏名および連絡方法
2)処理の目的
3)データ主体(=個人データを取得された本人)と、処理する個人データのカテゴリー
4)個人データがすでに開示された相手、または今後開示される相手のカテゴリー
5)第三国または国際機関への個人データの移転がある場合は、その移転の内容
6)個人データのカテゴリーごとに、消去する予定の期限
7)処理の際にどのようなセキュリティー措置をとったかの概要
3-8. 場合によってデータ保護影響評価を実施する
さらに、企業が個人データの保護に関してリスクの高い処理をする際には、事前に「データ保護影響評価」を実施しなければなりません。
評価する項目は以下です。
・処理の内容、および目的
・処理の必要性および比例性(処理の目的の重要度に対して、リスクが大きすぎないこと)の評価
・データ主体(本人)の権利自由に対するリスクの評価
・上記のリスクに対処するため予定・計画されている手段
この評価に関しては、日本貿易振興機構(ジェトロ)「データ保護影響評価(DPIA)の実施に関するガイドライン」でくわしく説明されていますので、必要な際には参照してください。
3-9. データの取り扱いに問題があった場合、72時間以内に報告する
前述のように、GDPRではデータのセキュリティ対策を義務付けていますが、それを実施していても何らかのインシデントが発生する恐れはあります。
たとえば情報漏洩やサイバー攻撃などです。
もしそのようなことがあった場合は、企業は72時間以内に監督機関にその事実を報告する義務があります。
さらに、データ主体(=個人データを取得される本人)にも何らかの影響がある場合は、データ主体にも通知しなければなりません。
たとえば、「サイバー攻撃を受けて、個人情報が盗まれた」という場合は、それが発覚してから72時間のうちに、監督機関に報告するとともに、情報を盗まれた個人にもその事実を広く知らせなければならないというわけです。
4. GDPRの注意点
このように、日本の個人情報保護法とは異なる対応がさまざま求められるのがGDPRです。
中でも特に、以下の2点については重要ですので注意してください。
・IPアドレス、Cookieも個人情報に含まれる
・個人情報の取得には本人の同意が必要
4-1. IPアドレス、Cookieも個人情報に含まれる
ここまで何度か触れてきましたが、「IPアドレス、Cookieも個人情報に含まれる」のは非常に重要なポイントですので、あらためて説明しておきましょう。
GDPRでは、WEB利用などオンラインでの個人データ保護について、特に重視しています。
そのためIPアドレスやCookie情報を含めた「オンライン識別子」も保護の対象になっています。
企業は、まずこれらを取得・利用する際に、事前に本人の同意を得なければなりません。
多くの企業は、WEBサイトを開くと同時にポップアップで「Cookieポリシー」と「Cookie利用の同意」を
表示し、「同意する」ボタンをクリックすることで同意を得る方法をとっています。
トップページだけでなく、どのページからアクセスしても、最初にこの同意が得られるように設定しておく必要があるでしょう。
4-2. 個人データの取り扱いには本人の同意が必要
前項とも関係しますが、GDPRでは個人データを取り扱う際に「データ主体(=個人データを取得される本人)の同意」を必須としています。
この「同意」には、以下のような条件があります。
◎個人データの処理について本人の同意を得ていることを証明できなければならない
◎他の案件にも関係している書面の中で、個人データについての同意をとっている場合は、同意を要求する文言がわかりやすくはっきり、見つけやすいように、そして他の事項とは明らかに区別できるように示されていなければならない
◎同意を得る前に、本人に「いつでも同意を撤回する権利があること」を知らせなければならない など
つまり、たとえば同意を得たとしても、事前に「その同意はいつでも撤回できる」ことを知らせていなかった場合などは、「同意を得た」とは言えないわけです。
4. まとめ
いかがでしたか?
GDPRについて、必要なことがわかったかと思います。
では最後にもう一度、記事の要点をおさえておきましょう。
◎「GDPR(一般データ保護規則)」は、EU域内での個人情報データ保護を目的として定められた法令
◎GDPRの概要は以下
| どんなデータを保護するの? | EEA(European Economic Area=欧州経済領域)域内で取得された「個人データ」 →氏名、所在地、メールアドレスなど ※オンライン識別子(IP アドレス、クッキー識別子)も含まれます |
| どんな場合に保護するの? | データを「処理」するときと「移転」するとき |
| どんなふうに保護するの? | データを取り扱う企業・団体は、以下のことを義務付けられます ・適切なセキュリティ措置をとって個人データを守る ・個人データを処理したときは、内部記録をとって保管する ・もし個人データが侵害されたら、監督期間と本人に知らせる ・本人から個人データの開示や削除、訂正などを求められたらスムーズに応じる など |
| 日本企業も関係あるの? | 以下のような場合は、日本企業もGDPRに従わなければなりません ・EEA域内に子会社や支店がある ・EEA域内に施設はなくても、域内の個人に商品やサービスを提供している ・EEA域内で取得した個人データを、域外に持ち出して処理している ・EEA域内の業者から個人データの処理について委託を受けているなど |
| 守らなければどうなるの? | GDPRに違反した場合、以下のどちらかの制裁金が課せられます ・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方 ・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方 |
◎GDPRが適用される日本企業は、
・EU域内に子会社や支店、営業所などを持っている企業
・日本からEU域内に商品やサービスを提供している企業
・EU域内から個人データの処理について委託を受けている企業
・インターネット通販でEUからも注文があり、送付や決済で個人データを利用している企業
・EU域内に個人データを扱うデータベースやサーバーを設置している企業
・英語版のサイトなどを運営していて、そこでEUのユーザーからCookieなどを取得している企業
◎GDPRにのっとってすべきこと9つは、
・個人データは適法に処理する
・データ保護責任者を設置する
・プライバシーポリシーを作成する
・Cookieポリシーを作成する
・データのセキュリティ対策を行う
・個人の権利に対応する
・データ処理の記録を残す
・場合によってデータ保護影響評価を実施する
・データの取り扱いに問題があった場合、72時間以内に報告する
◎GDPRの注意点は、
・IPアドレス、Cookieも個人情報に含まれる
・個人データの取り扱いには本人の同意が必要
以上を踏まえて、あなたの会社が適切な個人情報保護対応を取れるよう願っています。
コメント