GDPR。ジーディーピーアール。General Data Protection Regulation、一般データ保護規則の略です。ご存知でしょうか。
GDPRをご存知でない方でも、実は身近に最近よく見かけるアラートがあると思います。
「このサイトはCookieを利用しています。サイトの閲覧を続けられる場合は、弊社のCocckie使用に同意していただく必要があります[詳しくはこちら]」
こんなやつ。
これ、なにかっていうとGDPR対策の一つなんです。
去年あたりからウェブ界隈ではGDPRが騒がれている感じがしてましたが、徐々にGDPR対策として出している企業・サービスが多くなってきました。
少なくとも法律関係は、知らぬ存ぜぬでは通らず、無知は罪。「法律を知らなかった」では通用しません。
調べながら簡単にGDPRについて説明してみたいと思います。
GDPRとは
もともとEUの個人データやプライバシー保護に関する規定です。
(このEUというのは、EU加盟国、欧州経済領域(EEA)の一部のアイスランド、ノルウェー、リヒテンシュタインを指します)
GDPR(General Data Protection Regulation:一般データ保護規則)
つまり、EUの個人情報保護法みたいなもの。
外国の個人情報保護法が、なぜここまで騒がせているのかというと、運営しているウェブサイトによってはEU域外の事業者として適用される可能性があるからなんです。
GDPRの適応範囲は幅広い
EU域内でビジネスを行い、EU域内にいる個人の個人データを取得する中小・零細 企業を含む日本企業に対しては勿論ですが、拠点を有しない日本企業にも GDPRが適用される可能性があり、内容を把握した上で対応を検討する必要があります。
- EU域内に子会社や支店等の拠点がある場合
- EU域内に子会社や支店等の拠点ががない場合
- EU域内の個人に向けた商品、サービスの提供をしている
- EU域内の個人の行動を監視している ( アプリやウェブサイトにおける個人の行動履歴や 購買履歴の追跡等 )
ここで注意したいのが「単に英語のウェブサイトを載せているだけでは適用されない」という点でしょう。言語・通過・EU域内の個人に関する言及があるか等考慮されて判断されるそうです。
改めて、自分のポジションがGDPR適応範囲内なのか外なのか、検討してみましょう。
個人データの範囲
「 EUの個人データを取り扱わない場合、GDPRへの対応は必要ない」という意見もありますが、そもそも個人データとはどの範囲のことを指しているのでしょうか。
- 氏名、住所
- 識別番号
- オンライン識別子(IPアドレス、Cokkie)
- 位置情報
ウェブサイトの運営において、アクセス解析やクッキーは大抵取り扱っていることでしょう。個人データの範囲部分では、避けて通れないかと感じます。
データ漏えい時の通知義務
データ漏洩時、日本の個人情報保護法では、報告は努力義務とされており、いついつまでに報告するべき、というルールもありませんでしたが、GDPRでは「72時間以内に通知する義務」が発生します。
違反時の制裁金
更に、違反をした際には、最大2000万ユーロまたは、全世界年間売上の4%の制裁金 が。
ただ、違反をしたからすぐに制裁金が請求されることはなく、先に通達が来るそうです。
参考リンク
- 経済産業省|EU域内にいる個人の個人データを取り扱う 企業の皆さまへ
- 欧州連合(EU)GDPR原文|EUR-Lex32016R0679-EN
- 個人情報保護委員会|GDPR(General Data Protection Regulation:一般データ保護規則)
- JETRO|「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
- JIETRO| EU 一般データ保護規則(GDPR)について
ウェブサービス運営者としての判断
GDPRではIPアドレスやクッキー情報など、オンライン識別子が個人情報と明確に定義されて、それらを取得するには同意が必要になりました。
なので、ウェブページを見た時のアラートで「個人情報(クッキー)を取得するので同意してね」というオプトインになるわけです。
冒頭でもちらっと言及しましたが、そもそもGDPRの適応外になるケースも結構あると思われます。すべてのウェブサイトが対象となって変えなければいけない、というわけではありません。
どこまで対応すればいいのか、ガイドラインがまだできていないので判断が難しい部分もありますし。。
以前、セミナーに参加した際、個人情報保護委員会の方に直接聞いた所、
「個人情報保護委員会には解釈権限がない」とのことで、やはり明確なガイドラインはまだないそうです。
GDPRも近代の個人情報の扱いに対応した保護規則だから滅茶苦茶なことを言っているわけではなく「個人情報を守ろう」という根底にあるコンセプトは、世界共通。
個人情報って言われると、ついつい暗号化やユーザ分析として使うための判断データのように思ってしまいがちなんですが、元々は一人のユーザから預かったデータでもあるわけですよね。
「ウチはGDPR適用範囲外だから何もしなくていいや」ってよりも近代に合わせた規定に現状が合っているのか、という確認することだけでもだいじなことだよな。と改めて個人データに感謝をしつつ、お茶を濁して終わります。
