GDPRという言葉を耳にしたことはありますか?GDPRはEC業界においても重要な意味を持ちます。一体どのような点で重要なのでしょうか。
今回は、GDPRとは何なのか、どんな対策をすればいいのかについてご紹介していきます。
そもそもGDPRって何?
GDPRとは「General Data Protection Regulation」の略語で、2018年5月25日に欧州連合(EU)が施行した一般データ保護規則のことです。
EU在住市民の個人情報を取り扱う全ての企業・団体や個人は、もしEU在住者の個人情報を漏洩させてしまった場合、必要な所定の手続きを取らないと罰則が課されることになります。これはEUだけの法令ではなく、世界各国の企業や個人も対象になります。日本を拠点とした企業であっても以下の企業は対象となりますので注意が必要です。
・会社がEU域内にもある企業
・お客様の中にEU域内に在住している方がいらっしゃる企業
・EU域内のデータ処理をお願いされている企業
もし違反してしまった場合
もしGDPRに違反してしまった場合、罰則(制裁金)が課されることになります。軽微な違反であっても1,000万ユーロ(現在では約13億円)または前年売上高の2%のどちらか金額が大きい方を請求されることとなります。
ただし、違反しているからといってすぐに上記の罰則が適用されるかというとそうではなく、所定の手続きをとることによって適用を免れることもあるようです。所定の手続きは、情報漏洩が起きたと判明して72時間以内に所定の窓口に報告する必要があります。
GDPR対策としてすべきこと
GDPRは2018年の5月に施行済みです。該当する企業の方はすぐにでも対応しましょう。
まずは現状どのような個人データを取り扱っているのか確認しましょう。どんなデータがあるのか、誰が取り扱っているのか、どのようなやりとりが行われ、保管されているのか正確に把握する必要があります。
現状を把握したら、プライバシーポリシーに個人情報の取扱いに関する明記がされているか、個人情報取得に関するページに容易にアクセスできるのかについて対応していきましょう。収集しているデータ内容、利用方法、管理方法、共有方法について、法的に問題がないようプライバシーポリシーの策定を行い、セキュリティを強化することが具体的な対策となります。
また、サイトによってはCookieを使っているところもあると思います。Cookieについては使用範囲・期間を明確に定め、訪問者にCookieの使用について同意か拒否か選択させるように設定するのが良いでしょう。
まとめ
GDPRについては、欧州にビジネスを展開しているか、自社のビジネスがGDPRの規制対象となるのか、GDPRで定められた要件を照らし合わせて判断することが大切です。
どのように対策を進めればいいか難しいですが、他の個人情報の取り扱いと同じように、しっかりとした準備と、対応方針、そして正しい情報の運用と管理を徹底して行いましょう。