悩めるWEB担当者様のための最新ノウハウをお届け

GDPRが施行開始!気を付けるべきポイントは?

women_checking_data

2018年5月25日に施行開始されたGDPR(EU一般データ保護規則)。
聞きなれない名前ですが、実は日本企業にも関わるケースがあるのです!
GDPRとは何か、どういう対策をする必要があるかをご紹介します。

GDPRとは何か?

GDPR(一般データ保護規則)は、日本の個人情報保護法に相当するEU圏内でのデータ保護法であり、2018年5月25日から適用が開始されました。
個人データの処理や個人データを欧州経済領域(European Economic Area、以下EEA)から領域外に移転する時に満たさなければならない法律を定めています。
GDPRの前身であるEUデータ保護指令とは異なり、GDPRはEU加盟国を直接的に拘束するものなので、規則に違反した場合には極めて厳しい罰則が下されることになります。

また、Web関係者であれば、GDPRによって普段使っているGoogle Analyticsの設定を変更しなければならない場合があります。
Google Analyticsの設定については、「【緊急】Google Analyticsのデータが消える?「データ保持」期間の設定が追加に」の記事をご覧ください。

なぜGDPRが必要なのか?

ヨーロッパではもともと「人権」や「個人の権利」に対する意識が高く、情報産業の拡大に伴ってプライバシー権や個人情報保護の必要性が叫ばれるようになりました。
今年4月にFacebook創業者のザッカーバーグが米議会に喚問されたことが話題に上りましたが、それは個人情報の不正使用の疑いによるものでした。政治コンサルティング会社がFacebookの個人情報を不正に利用し、米大統領選でのトランプ陣営やBrexitの際のEU離脱派に有利な操作をした疑惑が出ています。
このようにインターネット上の個人情報が政治や経済にとって重要な影響を与えるようになった現代において、個人情報を保護し、必要によっては削除したり編集したりすることが情報化時代の新しい人権として要請されつつあります。

誰に適用されるのか?

「EUの規則だから日本企業には関係ない」と思われている方もいるかと思います。しかし、EUに支社を置いていない企業であってもGDPRの規則が適用される場合があるので注意が必要です!

GDPRが適用される企業は次の3つの場合です。

  1. EUに子会社、支店、事務所など拠点を置いている企業
  2. 日本からEUに商品・サービスを提供している企業
  3. EUから個人データの処理について委託を受けている企業

例えば、EUからの旅行者向けにオンライン予約サービスを行っているホテルや、EEAに商品を販売しているEC事業者(どちらも上記2番のケースに該当)などは、個人情報保護の対策が必要となります。サーバーの場所は関係なく、EEA外のサーバーであってもEEA圏内の個人情報を取り扱っているのであれば規則が適用されます。

また、一般的な事業者だけでなく公的機関、地方自治体、非営利団体であっても、上記に当てはまる場合は規則が適用されるので注意が必要です。

どういう対策が必要なのか?

GDPRは、欧州経済領域内で取得した個人情報を処理したり、第三国に移転する際の法的要件を定めています。
ここで、個人情報が指すのは氏名、住所などはもちろんですが、オンラインでの識別子(IPアドレスやcookieなど)も含まれており、実名である/なしに関わらずデータ保護の対象になっています。また、顧客データだけでなく、社員の業務評価や社員リストなどもこの規則の対象となっています。

規則の適用に際して、以下の手順で規則が守れているかをチェックしていきましょう。

現状を確認する

自分たちがどのような個人情報を扱っていて、それがどこにどのような形態で保存されているか、今一度確認しましょう。
EEAにECを展開していたり、EEAに拠点を構えている企業は対策が必要となります。

基本的な個人情報の取り扱い方についてチェックする

GDPRの条文すべてについてご紹介するのは難しいですが、ここでは必要とされる対策の中で重要なものをお伝えします。

以下の設定ができていない場合は、必要な措置を講じましょう。
(参照元:https://techblog.bozho.net/gdpr-practical-guide-developers/)

  1. ユーザーのデータをすべて削除する機能が必要
    IDやメールアドレスだけでなく、購入履歴やcookieのデータも削除が必要となります。
  2. 第三者サービスに送信したデータの削除も行えること
    自サービスのデータだけでなく、第三者に送信した情報についても削除の対象となります。例えばSalesforceやHubspotを使って顧客情報を管理している場合は、APIを使って個人情報を削除できることを確認しましょう。
  3. 管理者の閲覧制限
    ユーザーリストを表示する管理者画面で、閲覧制限をかけられるボタンが設置されていなければなりません。バックオフィスや他の一般社員など、情報を見る必要のない人が個人情報を見ることができないようにしましょう。
  4. データのエクスポートができること
    「データのエクスポート」ボタンなどで、ユーザーが自分に関して企業が持っているすべてのデータを受け取ることができるようにしなければなりません。購買データや住所などの情報がこれに当たります。
  5. ユーザーがプロフィールの編集を行えること
    ユーザーが自分に関するすべてのデータを編集できるようにする必要があります。「Facebookでログイン」など、第三者から集めた情報についても、ユーザーがこれを編集できるようにすることが義務付けられています。
  6. 同意チェックボックス
    「個人情報保護の条件に同意します」のようなこれまでの同意の取り方は十分ではありません。プロフィールや情報登録それぞれのページにおいて、チェックボックスを表示してユーザーの同意を得る必要があります。チェックボックスに最初からチェックが入っているものは不適切で、それは同意とは見なされません。また、機械学習やAIのためにデータを収集するためであっても、科学的な目的に使用するものを除いては、同意を得る必要があります。
  7. 「すべてのデータを見る」機能の設置
    これは義務ではないですが、例えばGoogleマップで過去に訪れた場所の履歴などのデータをユーザーが見られるようにするのが望ましいとされています。
  8. 年齢確認
    ユーザーの年齢が16歳以下の場合は、ユーザーの情報を利用する際に親の同意が必要です。
  9. 不必要なデータの消去
    個人情報を特定の目的のために利用した場合(例えば商品の発送など)、利用した後はすぐに消去するか匿名化しなければなりません。
  10. 緊急時の対応について確認する

    GDPRの重要な規則の一つに、”72時間ルール”と言われるものがあります。個人情報の侵害(漏えい)が発生した場合に、企業が72時間にそのことを監督機関に報告しなければいけない義務のことです。緊急時にどのような動きをするか、今一度企業内で確認を行い、上記の72時間ルールを遵守できるようにしましょう。

    上記はあくまでもGDPRの主要な規則を挙げただけのものなので、情報システムの責任者やセキュリティ部門の方は、一度GDPRの条文に目を通し、違反する点がないか確認することをおすすめします!

    違反するとどうなるのか?

    GDPRに違反すると違反の種類によって、次の2種類の制裁金が科せられます。

    1. 1000万ユーロ、または前会計年度の全世界年間売上高の2%のいずれか高いほう
    2. 2000万ユーロ、または前会計年度の全世界年間売上高の4%のいずれか高いほう

    1ユーロ128円とすると1000万ユーロは約13億円となり、莫大な額の罰金が科せられていることが分かります。罰則を受けないためにも、情報管理体制をしっかりチェックしましょう。

    まとめ

    GDPRが施行されて間もないですが、すでに規則違反が疑われ、提訴に至ったケースも報道されています。個人情報の取り扱いについて再度確認を行い、規則を遵守した営業ができるように環境を整えていきましょう。

関連記事