GDPRとは?Web担当者も法務も知っておくべき基本を解説

インターネット広告

GDPRは、EU域内の個人データの保護や取り扱いについて定められた法令のことです。日本企業でもEU域内と関わりのある企業はGDPRに関係します。

GDPRは、EU域内を商圏にしている企業だけでなく、EU圏内からのアクセスが多いWebサイト(ECサイトなど)も適用範囲となるため、Web担当者なら基本的なことは押さえておいた方がいいでしょう。

ここでは、GDPRの基本的な事柄や対策について紹介します。

GDPR(EU一般データ保護規則)とは

what_is_gdpr_about

GDPR(EU一般データ保護規則)は、2018年5月25日に施行された個人データの保護や取り扱いについて定められた法令のことです。

EU域内の各国に適用される法令ですが、日本企業でも適用範囲内になる場合があります。違反した場合の罰則は厳しく「知らなかった」ではすまないため、適用範囲内の企業はもちろんのこと、現時点で適用範囲外の企業や個人も大まかな内容を押さえておいた方がいいでしょう。

違反した場合は高額な制裁金が課される

GDPRに違反した場合は高額な制裁金が課されます。

例えば個人データの取り扱い規則に違反した場合は最大で、該当企業における全世界年間売上の4%または2,000万ユーロのいずれか高い方が制裁金として課される(第83条第5項)ことになるのです。

2,000万ユーロを日本円にすると約25億円です。「いずれか高い方」が制裁金として課されるとありますので、個人データの取り扱い規則に違反した場合は最低でも25億円程度が課されることになります。

日本企業でGDPRの対象になる企業とは

what_is_gdpr_target_company

日本企業でGDPRの対象になる企業は3つあります。

  • EUに子会社や支店、営業所などを有している企業
  • 日本からEUに商品やサービスを提供している企業
  • EUから個人データの処理について委託を受けている企業

EUで会社を営業しているか、EU向けに商品やサービスを提供しているか、EUの個人データの処理をしていると対象になるということです。

この3つの条件を見て自社は対象外と感じた人もいると思いますが、実はインバウンド向けのECサイトなども対象になるのです。

インバウンド向けのECサイトなども対象になる

ユーザーがEU域内におり、そのユーザーのWeb上の行動データを取得している場合もGDPRの対象になります。

この「EU域内にいるユーザー」の定義は、EUを居住地にしているユーザーだけを対象にするわけではありません。

短期出張などでEU圏内に滞在している日本などの、短期滞在者も「EU域内にいるユーザー」に含まれます。

つまり、EU域内に出張中の日本人のCookieなどもGDPRの個人情報になるということになります。

GDPRに定められる個人情報の処理とは

what_is_gdpr_processing_of_personal_information

GDPRで定められている個人情報の処理として重要なポイントは、「個人情報を取得する場合はユーザーに同意を求めること」「取得した個人情報は、ユーザーの求めに応じて対処可能であること」「取得した個人情報を適切に管理する」の3つです。

個人情報を取得する場合、取得する企業や目的を明らかにした上でユーザーに同意を求める必要があります。具体的には企業の身元や連絡先、処理の目的、第三者提供の有無、保管期間などを明らかにします。

取得した個人情報に対してユーザーが求めたことに対処できるとは、以下のようなことに対応できる必要があります。

  • ユーザーが個人データの削除を要求した場合に削除できること
  • 個人データが侵害された場合ユーザーが迅速に知ることができること

また、取得した個人情報を適切に管理するために以下の条件を満たす必要があるのです。

  • 監視、暗号化、匿名化などのセキュリティ要件を明確化すること
  • 必要な期間以上の個人情報保持の禁止
  • 大量の個人情報を扱う場合のデータ保護オフィサーの任命

日本では個人情報とみなされていなかったCookieも対象

GDPRで定義される個人情報の中には、日本では個人情報とみなされてこなかったCookieもあります。Cookieは、ブラウザに一時的に保存されるユーザーのWeb閲覧履歴などのことです。

なお、日本でも個人情報保護法が改正される関係でCRMの顧客情報などとひも付けて使われるCookieは個人情報になります。

日本企業がすべき対応とは何か

what_is_gdpr_correspondence

日本企業もGDPRに準じた処理を行う必要があります。

考えられる対応としては、現在利用している個人情報は何を目的として収集しているのかを明確にし、不要な情報や過分に収集している情報があれば見直すといったことがあります。

個人情報収集ポリシーや個人情報を保管する際のルールがない場合は作成し、すでにある場合も専門家を交えてGDPRに対応できるように見直しましょう。ルールを作成してから長期間経過している場合は、俗人的な曖昧なルールになっていることが多いからです。

また、すでに保管しているユーザーの個人情報は、暗号化によって保守できるように手配します。

個人情報を収集・蓄積する際のルールを作成する

個人情報を収集・蓄積する際のルールの作成は、社内人材だけでなく専門家を交えた方がいいでしょう。

GDPRや個人情報保護法に詳しい専門家のアドバイスに従って作成した方が安心感が大きいです。

すでに持っている個人情報やこれから収集する個人情報に関することはもちろん、ユーザーに不利益があった場合のフローについても検討します。

設定したルールに基づいて運用する

ルールを設定した後は、ルールに基づいた運用ができるようにマニュアルを作成します。ツールが必要な場合は、予算を検討した上で導入しましょう。

これについても専門知識のある人の監修を受けた方が安心です。

Cookieポップアップのみの対応では安心できない

Cookieの利用について、Webサイトを訪問したユーザーに「Cookie利用の許可」を求めるポップアップを設置する企業が増えています。

しかし、GDPR対策としては、ポップアップで許可を得るだけでは不安が残ります。常に最新の情報をキャッチアップしておきましょう。

GDPR関連で不安がある場合は迷わず専門家に相談する

Web上から収集する個人情報に関しては、年々規制が厳しくなっています。GDPRはEU域内の話ですが、日本でも個人情報保護法の改正が目前に迫っているところです。

自社の運用について少しでも不安を感じる場合は、一度専門家に相談したほうがいいでしょう。Web系に詳しい弁護士などでもいいですが、Webコンサルティング会社への相談なら広告運用や自社サイト運用と絡めて相談可能です。

NTTレゾナントは広告運用コンサルティングを提供しています。広告運用コンサルティングでは、中長期の広告運用に即したプラン設定を行い、分析・改善までしっかりサポートいたします。

関連記事一覧