GDPR(General Data Protection Regulation)とは?

GDPRとは、「EU一般データ保護規則」のことで、わかりやすく言うと個人情報を正しく扱いましょうということを定めたルールです。これはEUの中で適用されるルールで、2018年から施行されています。

単なる業界内の自主ルールというものではなく、罰則を含む法的要件で、確実に遵守しないと企業活動に大きな支障が起こりえます。特に、ユーザーの住所氏名といった、いわゆる一般的な個人情報だけでなく、インターネット上で普通に使われているCookie情報についても規制がかかっています。

そのため、EU域内で大規模な事業を行っている大企業だけでなく、少なくても外国語でサイトを運営する人は皆気を付けないといけないということになります。

GDPRでは、収集された個人データが企業でどのように処理されるかを管理します。

GDPRの目的

今までも個人情報の保護についての法的要件はありましたが、インターネット上のデジタル情報についてはあまり規則がありませんでした。そこで、このGDPRによって、オンライン上のユーザー情報収集の規則が加えられるようになっているのです。

CookieやIPアドレスなどの情報は、すぐに個人を特定するものとはなりませんが、広告の表示を含め簡単にユーザーのプライバシーに踏み込むものとなりえます。また、ある程度突っ込んだ情報収集を行えば、電子社会の現代では個人を特定することもさほど難しくないケースもあります。

こうした今まで規制がほぼなかったタイプの情報についても罰則付きで規制することで、個人のプライバシーと表現の自由を守るというのが目的です。

GDPRにおいて保護対象となる個人データ

インターネット上で収集できる個人データのほとんどがこのGDPRでは保護対象となっています。たとえば、Cookie情報があります。サイトを訪問したユーザーに対してCookieを使用することで、少なくてもサイト訪問の履歴やサイト内の動きを確認できます。

そして、場合によっては他のサイトへの動きを確認できます。もちろん、こうしたCookieはサイト内のサービスを向上するために用いることがほとんどですが、ユーザー追跡に使えてしまうのも事実です。それを検索サイトなどが活用して、リターゲティング広告を表示させたりしています。

また、IPアドレスも保護対象となります。IPアドレスが分れば、どの国のどの地域からアクセスがあったが一目瞭然です。また、企業経由であればどの企業からのアクセスかも分かってしまいます。個人の特定とまでは行かないまでも、ある程度までユーザーを絞り込むことにつながりますので、重要な個人データとみなされているのです。

GDPRにおける3つのキーワード

GDPRは「個人データ」「処理」「移転」に関する法的要件と解釈してもらって大丈夫です。GDPRでは、EEA(欧州経済領域)内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件です。

キーワード  例
個人データ
  • 自然人の氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス等)
  • 身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因
処理
  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客連絡先詳細の変更
  • 顧客氏名の開示
  • 上司の従業員業務評価の閲覧
移転
  • 個人データを含んだ電子形式の文書を電子メールでEEA域外に送付することは「移転」に該当する

GDPRの影響

まず、Cookieを使う場合にはユーザーの同意が必要となっています。そのため、サイトやサービスの利用の際には、必ず同意を求めるウインドウを表示して意思を確認する必要があります。

以前はCookieが勝手に使われていることも多かったですが、このGDPRの施行によって、対象国に直接入っていないとしてもCookieの使用許可を求める表示が多く出るようになっています。

また、収集した個人データの適正な管理を求めています。具体的には、個人データの記録方法が明確に決められていますし、データ保護責任者を配置することを規定しています。

さらに、データの保存に関しては暗号化をするように求めています。ハードディスクやUSBなどのハードにせよ、パソコン内のフォルダにせよ、個人データを保管する場所は暗号化するようにとされているのです。

GDPRの罰則

違反した場合は、かなり重い制裁金が課されます。最大で全世界年間売上の2%もしくは1,000万ユーロとなっています。これは違反内容によって異なりますが、全体としてかなり高額の制裁金が設定されていますので、十分注意すべき理由となります。

GDPRの対象企業

GDPRはEU内で適用される法的要件です。そのため、EU対象国内に拠点を構える企業に適用されます。また、たとえ支店などの物理的な拠点を持っていなくても、対象国の住民を相手にした販売や情報収集を行った場合も適用されます。

簡単に言えば、日本拠点の企業でも、EUの人向けのサイトを作ったりサービスを提供したりすれば対象となるのです。

GDPRへの対策

まず、EUからのアクセスやEU向けのサービス販売がないかを確認します。現実としては日本語だけのサイトであれば問題ありません。しかし、業界全体がこの分野で注意を払うようになっていますので、それに合わせるのが賢明です。

たとえば、Cookieの使用に当たっては、必ず同意ウインドウを表示し意思を確認した上で使うようにしましょう。また、個人データの保護フォルダやハードの管理ルールを定めることや、他社との取引ではデータ保護契約を結ぶなどの対策を取ることができます。

まとめ

世界の一体化が進むグローバルな現代社会において、日本という狭い枠組みの中だけでマーケティングを行なっていくのは古い考え方です。物流や人が簡単に国境を超えられるようになったからこそGDPRへの取り組み行なっていく必要があるのです。また、企業が情報セキュリティに真摯に取り組むことでつながっていく信頼というものあるはずです。

用語集一覧へ戻る