近年個人情報の取り扱いに関するニュースをよく見るようになってきました。
日本でも個人情報保護法が改定されましたが、まだWeb上のデータに関しては大きく問題視はされておりません。
一方海外では、数年前からWeb上の個人を特定する情報(IPアドレスやCookieなど)に関しても問題視され始めました。そのような流れを受け、GDPRという法律が施行されています。
今回は、GDPRとは何か、またその影響などに関してご紹介していきたいと思います。
GDPRとはなにか?
欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組みです。
「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が正式名称となります。
企業による個人データの取得利用を規制する目的で、欧州会議で2016年に可決され、2年間の猶予期間をもって施行されました。
GDPRにおける個人情報の処理について
GDPRでは個人データは「識別された、または識別され得る自然人に関するすべての情報」と定義されています。
下記が具体的な定義されている個人データです。
●氏名
●識別番号
●住所
●メールアドレス
●オンライン識別子(IPアドレス、クッキー)
●クレジットカード情報
●パスポート情報
●身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
GDPRの罰則について
GDPRに従わなかった場合、最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が適用されます。
現在(12月22日時点)1ユーロが156.47円ですから、円換算すると2000万ユーロは約31億円にもなってしまいます。
最低でも31億円を支払わなければならないというのは、企業にとって非常に大きな損害です。
GDPRの日本への影響は?
従わなければ多額の罰金が課せられてしまうGDPRですが、実はEU諸国にのみ適応される訳ではありません。日本でもGDPRを遵守しなければならない場合があります。
GDPRの対象企業
対象となるのは以下の企業です。
・ EUに子会社や支店、営業所などを有している企業
・ 日本からEUに商品やサービスを提供している企業
・ EUから個人データの処理について委託を受けている企業
EU圏内にいるユーザーのWeb上の行動データを取得している場合もGDPRの範囲に含まれています。また、以下の条件も対象となるのでご注意ください。
・短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
・日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
・日本から EEA内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
・日本から EEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合
GDPRの対応方法
現時点では日本向けの日本語対応のみの商品、サービスであれば特別な対応をする必要はないようです。
しかし、上述したようにEU圏にいるユーザーが使用している可能性もありますので、もしCookieなどの情報を取得しているのであれば、EU圏内からのアクセスがないか、調べてみた方がいいかもしれません。
また万が一多くのアクセスがある場合や、EU圏内のユーザーに向けた商品、サービスを展開している場合は上述したようにGDPRの個人情報の処理を遵守するようにしてください。
まとめ
GDPRは既に施行が始まっています。
GDPR違反による制裁事例はまだ確認されていませんが、サイバー攻撃やセキュリティ不備による顧客情報流出事故はGDPR施行後も継続的に発生しており、当該事故がGDPRの制裁対象となっても不思議ではありません。
施行が始まっている現在、制裁金をはじめとする各種リスクを極力抑え・回避するためには、できるところから着実にGDPR対応を進め、当局等に対してGDPR遵守を対外的に説明できる状態にすることが重要です。