個人情報の取り扱いが世界的に論議されています。

不正情報アクセスや情報漏洩などニュースでも話題になっていることはご存知でしょう。

IT業界でもからヨーロッパを中心にWeb上で個人を特定できるIPアドレスやCookieの取り扱いが問題になりました。

そうした世界の動きにAppleはITPをいち早く導入したのは2017年のことです。

今回はヨーロッパで施行されたGDPRについて解説します。

GDPRの概要

GDPRとは「General Data Protection Regulation」の略で、日本語では「一般データ保護規則」といいます。

EUでは個人情報に関する整備が進んでいてIT技術の革新により、個人情報に不正アクセスするのを厳しく制限する必要性を議論してきました。

その結果、正式に2018年5月25日に施行されました。

GDPRで保護される個人情報とは、EU加盟国およびEEA(欧州経済領域)3か国に所在がある全ての個人に当てはまります。

さらにこの法律には重い罰則規定も設けられ2,000万ユーロの罰金もしくは全世界年間売上高の4％以下のどちらか高い方が適用されます。

それではGDPRが制定された背景など解説していきましょう。

GDPR制定の背景は

EUにはGDPRの先駆けとなるEUデータ保護指令が1995年に採択されていました。

しかし、EU各国には国内法があったため国によってばらばらで統一的な法律の制定が急がれていたのです。

その間にインターネット環境はめまぐるしい発展を遂げました。

そして、大手IT企業が個人情報をユーザーの承諾なしに取得する動きが問題視されたのです。

これを受けてGDPRでは、「対象となる個人データを識別されたあるいは識別されうる全ての情報」と定義付けました。

GDPRで保護される「個人データ」

2018年5月、個人データの保護を目的とした法律GDPRが施行されました。

世界でも最も厳しい個人情報保護法だといわれています。

個人データとは、識別された又は識別され得る個人（「データ主体」）に関するあらゆる情報を意味します。

識別され得る個人は、特に、氏名・識別番号・位置データ・オンライン識別子のような識別子です。

または個人に関する物理的・生理的・遺伝子的・精神的・経済的・文化的・社会的アイデンティティに特有な1つ若しくは複数の要素となります。

GDPRが定義する代表的な個人データは以下の通りです。

• 氏名
• 電話番号
• 生年月日
• 本人写真の画像データ
• 位置情報
• メールアドレス
• オンライン識別子（IPアドレス・Cookie）
• パスポート番号
• クレジットカード番号
• 健康診断結果

これらはあくまでも一例であり、個人情報を扱う企業であればほぼ全ての個人に関する情報はGDPRに抵触する恐れがあります。

企業がやるべきこと

企業はGDPRに対して何をすべきなのでしょうか。

まずはGDPRが定義するプライバシーの定義が業務をする上でリスクに晒されていないか確認しましょう。

実用的かつ現実的なGDPRに対応した計画を策定する必要があります。

特にプライバシーを取り扱う業務ではプロセスの中にリスク対策を組み込み、チェック体制を構築することが重要です。

プライバシーを厳格に正しく取り扱えることが他社との差別化にも繋がるのです。

 

 

Webサイト・LP制作の事例はこちら

 

GDPRの日本への影響

日本においてGDPRの影響を受けると想定できる企業は以下のものがあります。

• EUに子会社・支店・営業所・駐在事務所がある
• 日本からEUに商品やサービスを提供している
• EUから個人データの処理について委託を受けている

このようにEU域内で事業を展開する企業・団体・機関に全てGDPRは適用されます。

GDPRの詳細な情報は日本貿易振興会（ジェトロ）が発行するEU一般データ保護規則（GDPR）に関わる実務ハンドブックが参考になります。

その他、経済産業省のホームページなども参考になるでしょう。

GDPRの対象企業

GDPRの対象企業はEU域内でビジネスを行い、EU域内にいる個人データを取得する日本の企業全てに適用されます。

また、EU域内から域外である第三国への移転についても規定があります。

規定に違反すれば制裁対象となりますので注意してください。

GDPR適応条件は見落としがち

GDPRは管理者または処理者がEEA内に拠点がなくても以下のいずれかの場合は適用されます。

見落とすことがないようご注意ください。

• EEAのデータ主体に対し商品またはサービスを提供する場合
• EEAのデータ主体の行動を監視する場合

EU域内にいるユーザーのWeb上の行動データを取得していればもちろん適用されます。

例えば、意図していなくてもインバウンド向けのサイトを運営していて、Cookieを取得する場合も規定通りに処理をしなければ処罰されるのです。

さらに、出張や旅行で短期間でもEU域内に滞在した日本人のCookieもGDPRの範囲に含まれます。

このように気づかないうちに自社が対象企業になっていることがありますから確認をしましょう。

EUに物理的に存在する個人のプライバシー

GDPRは欧州に物理的に存在する企業や組織だけではありません。

EU圏内に居住する市民に対して商品やサービスを提供する企業・組織であれば対象となります。

また、人種や国籍、市民権は関係ないため、例えば日本からEU圏内に仕事で訪れた駐在員なども保護対象になるのです。

対象は幅広いのが特徴

GDPRはEU域内に拠点がなくても適応されるため対象は広くなるといえます。

例えば、EU域外でインターネットを使って商品やサービスを提供していて、顧客にEU域内在住の人がいれば対象となる可能性があります。

プライバシー情報の拡大

GDPRを皮切りに各国が個人情報保護法の厳格化に乗り出しています。

個人情報漏洩や不正利用が増える中、インターネットビジネスは国境を越えグローバル化し続けています。

EUに拠点がない日本企業のサイトもGDPRの規制対象になる可能性があるのです。

例えば、EUからアクセスできるサイトに名前やEmailアドレスを入力するフォームを設置、Googleアナリティクスを導入している場合です。

また、会員IDやユーザー名、デバイスごとの固有IPアドレス、Cookieを保存するターゲティングやA/Bテストなども該当します。

その他、接客ツール、LPOツールなどでCookieを保存しているものは注意しましょう。

Webの訪問者に与えられる権利

EU域内の個人には企業へ提供する個人データについて以下のような権利が与えられます。

• 取得されることを拒否する権利（同意）
• アクセスする権利（内容確認・修正）
• 消去する権利（削除）
• 持ち運ぶ権利（エクスポート）

個人にはメールアドレスやアクセス履歴を「取得されることを拒否する権利」が保証されます。

企業は同意を得ずして勝手に個人データの取得は許されません。

企業はアクセスできない内容の確認や修正を迫られる可能性があります。

個人にとって不都合な書き込みや情報を「消去する権利」が保証されます。

企業は個人が欲しいと思う情報に対し、エクスポートできるように取り計らわなければなりません。

 

WebサイトにGDPR対策は必要か

GDPR適用対象は欧州から人種を問わずアクセスされて、名前など個人情報が入力されればGDPR適用対象になるかもしれません。

知らなかったでは済まされないということです。

Webサイトを運営している場合は、見落としがないか法律に詳しい専門家に相談し連携しましょう。

対応方針や必要なツールを選定したり、運用プロセスを構築したりして必要な対策は万全にしなければなりません。

タグやデータを削除する決断も出てくるかもしれません。

不要な個人データは取得を停止したり匿名化したりする方がいいでしょう。

 

Webサイト・LP制作の事例はこちら

 

対応の要否の判断はどうする

GDPRを理解するためには法律の分野に詳しい専門家に意見を聞くことが最適です。

その上で自社がGDPRで定められた要件に照らし合わせてどうか対応を判断することが大切になります。

特に社内のコンプライアンスも経験がない事案であるためグローバルベースで推進できる適任者を選任すべきでしょう。

次に社内で扱っている個人データを一覧化して、「誰が」「何の目的で」「何のデータを」「どのように」扱っているか明確にすることです。

そしてGDPRの要件事項と比較して洗い出しましょう。

洗い出してギャップが見つかれば対応方針を検討します。

GDPRはすでに施行されているので対応すべき事項を早急に明確化して計画を立案する必要があります。

立案ができれば実装し運用状況を定期的にモニタリングして改善点があれば対応してください。

グローバル展開している企業は実装に時間やコストもかかるためしっかりチェックしましょう。

判断に迷ったらこれだけはしよう

GDPRで制裁対象になると高額な制裁金が課せられます。

さらに企業としてのブランドに大きなダメージを与えることになりかねません。

法律の知識がなければ曖昧な対策で終わる可能性があります。

GDPR対策は弁護士やヨーロッパの法律に明るい人を迎えて会社をあげて対応すべきでしょう。

身近な対応としては、例えば欧州のIPアドレスからのアクセスをブロックする対応方法もあります。

しかし、そこまでできない企業はせめて日本国内の個人情報保護法とGDPRの共通点をまず見つけ出し対応することから始めましょう。

GDPRの判断に迷ったらこれだけは抑えておきたいポイントを紹介します。

個人データの取得場面の特定

マーケティングに携わる人は自社がどのような場面で個人データを取得しているか洗い出しましょう。

一般に個人データを取得する場面としてあげられるのは以下のような場面が想定されます。

• 問い合わせフォーム
• アンケート
• 会員登録画面
• チャットボット
• ログイン画面

個人データを取得している場面が洗い出せたら、目的やデータの種類、管理方法を確認します。

個人データの最小限度性の確保

GDPRの定義には個人データは処理目的の必要性に照らし合わせて、適切であり、関連性があり、最小限に限られるものとするとしています。

個人情報を最小限にとどめることでコンプライアンス境界を縮小することが推奨されているのです。

必要以上に個人データを利用しないことを厳守してください。

個人データの廃棄サイクルの設定

個人データの廃棄については最小限度性の観点からも社内でルールを策定する必要があります、

取得したデータを使い続けることは、ユーザーの承諾を得ていないと判断される恐れがあるからです。

例えば、情報管理ツールを利用するなどして、一定期間を経過した個人情報は自動で廃棄される仕組みを構築すべきでしょう。

GDPRでは随所にオプトイン（利用者の同意）を求めています。

個別データの訂正や開示も要求されれば原則拒否はできません。

個別対応をすれば時間もコストもかかるためルールを決めて一斉廃棄する方が合理的でしょう。

個人データ取得の際のオプトインの確保

GDPRに対応するためには、個人データの移送・取得に際しては、全てオプトインが必要になります。

画面上で同意を求めるボタンの設置ができているか、Cookieポップアップを設置するなどの対応が対応してください。

テクニカル的にCookieポップアップ設置ができない、あるいは同意が得られない場合はCookieをオフにする対応に迫られます。

例えば、ユーザーには手順をわかりやすくWebページ上で説明し自ら対応するように誘導しましょう。

こうした案内がなされていない場合はGDPRでは明らかに問題になります。

プライバシーポリシーの整備・削除訂正受付の設置

プライバシーポリシーでは、個人データの利用について規定があります。

具体的には、利用目的・取得する個人データの種類・共同利用の有無・訂正削除要求の受付窓口を記載する必要があるとされているのです。

 

GDPRが切り開く未来

欧州議会が10年もかかって立案したGDPRはデジタル社会改革への熱意と未来への危惧の現われともいえるでしょう。

今後はユーザー自ら個人データの管理を行い、企業はいつ、どのように、どうやって、個人データにアクセス可能か否かその判断もユーザーが管理するのです。

ユーザーは好きな時にデータをオン・オフできるようになります。

企業はユーザーからデータの利用が承諾されることでビジネス上メリットもあるといえるでしょう。

そのためにはGDPRを順守しながら企業として質の高い商品・サービスを提供し続ける必要があるのです。

海外サイト運用研究

グローバルでビジネスを展開するGoogleでは、個人データの取得・処理・保管・移転・消去権についてルールを決めました。

その結果、ユーザーが関与する範囲が大幅に増えユーザー主導に移り変わりつつあります。

また、インターネットセキュリティの専門家チームを作り、弱点の研究やユーザーのサポートを行うなど対応をしています。

こうした動きはAmazonや楽天でも導入され始めているところです。

GDPRを順守することはユーザー保護、企業のブランディングにも大いに貢献するといえるでしょう。

EUとビジネスをする以上避けては通れないGDPR対策を速やかに行うことが重要です。

 

WebサイトのGDPR対応で悩んだら

GDPRの規定は非常に細かいため法律的観点からも判断に迷います。

こうした場合、専門のコンサルタント会社や弁護士などに相談しましょう。

さまざまなビジネスシーンで活躍してきたデジマクラスではGDPRに対応できるノウハウがあります。

まずは気軽に相談してサポートを受けながらGDPR対応に着手してください。

 

Webサイト・LP制作の事例はこちら

 

まとめ

自社のWebサイトがまだGDPRに未対応なら、どのように対応すべきか方針を決定してください。

そして、未対応の箇所を補強しましょう。

GDPR対応にはコストも工数もかかる作業になります。

着実に対策を進め自社のビジネスに最適なものに仕上げていくことが重要です。