
GDPRとは何か?
GDPRとは、「一般データ保護規則(General Data Protection Regulation)」の頭文字からきており、欧州連合(EU)における個人情報保護の取り扱いに関する規則です。
EUでは、1995年に「EUデータ保護指令」が適用されていますが、1995年に比べ現代ではITを活用したサービスの規模が拡大した結果、膨大な個人情報が処理されるようになっています。そのため、「EUデータ保護指令」に代わり個人情報を保護する新たな枠組みとしてGDPRは2016年4月に制定され、2018年5月25日に施行されています。
最新情報をいち早くお届け!
無料会員登録していただくと、
会員限定の特別コンテンツ記事を最後まで
読むことができます!
その他、更新情報・イベント情報を
お届けいたします。
GDPRの適応範囲とは?
GDPRはEUにおいてデータを収集する企業などの「管理者」、データ管理者に代わり収集したデータを処理する「処理者」、個人などの「データ主体」のいずれかがEU圏に拠点を置いている場合に適応されます。EU圏の企業はもちろん、EU圏外の企業がEU圏ユーザーの個人情報を収集する場合にも対象になります。
また対象となる「個人データ」について氏名・住所・メールアドレス・口座情報・クレジットカード情報・IDなどの識別番号といった情報については当然のように該当しますが、GDPRからは新たにIPアドレスやCookieのようなオンライン識別子についても「個人データ」の対象となります。
Cookieはブラウザに保存される情報で、蓄積された情報から個人の嗜好を読み取ることや、他の情報と合わせた際に個人を特定できる可能性があることから「個人データ」とみなされています。日本国内法である個人情報保護法においてはCookieや履歴データについて個人情報と見なされていません。
GDPRはこれまで個人情報とされなかった情報に対しても対象となったことに加えこれらの情報を取得し、処理する際にはユーザーに対して同意が必要となりました。Cookieの取得利用についてはGDPRが施行される以前では、求めに応じてCookieの利用を停止していましたが、GDPR施行後では利用者の同意なしに情報収集をしてはならず、利用目的や期間を明らかにした上でCookie取得の同意が必要です。
個人情報の移転は原則禁止
これらのCookieを含め収集された個人情報をEU域外への移転は原則禁止とされていますが、条件付きで移転が可能になります。
移転条件には、移転先において個人情報保護の十分な管理体制がなされていると、欧州委員会で認められた「十分性認定」の国と地域であること。データ主体が移転に同意した場合といったケースです。
十分性認定とは
欧州委員会が認める「十分性認定」とは対象となる国や地域が個人情報の保護・取り扱いについて十分な水準があると認めることで、日本は2019年1月23日に認められています。
違反時の高額な制裁金
GDPRには処罰の規定があるため、違反をした場合に警告や制裁金を課せられることがあります。
GDPRの制裁金は高額で、有名な記事にはGoogleの事例があり、このときGoogleに対してGDPR違反として課せられた制裁金は5,000ユーロ(約62億円)と公表されています。この時に違反したとされる点は、透明性のある情報提供の義務と、ユーザーから無効に得た同意により広告目的の処理が行われていたという2点です。
透明性のある情報提供の義務については、収集されたデータに対してユーザーに提供される情報が明確でなく、処理目的も曖昧であり、情報を得るためには複数回クリックしてウェブサイトを閲覧する必要があるとされていました。
ユーザーから無効に得た同意により広告目的の処理が行われていた点については、情報収集に対しての同意で既にチェックされているチェックボックスが使用されていたことから、同意を前提とする選択が既になされていたことが問題になっています。
Googleの事例では5,000ユーロという制裁金でしたが、GDPRで定められた制裁金は軽度の違反の場合、1,000万ユーロまたは、全世界年間売上高の最大2%のいずれか大きい方とされています。
悪質な場合については、2,000万ユーロまたは、全世界年間売上高の最大4%のいずれか大きい方とされており、これらに従い制裁金が決定されています。
日本での影響と対策
GDPRはEUにおける規則ですが、適用範囲にデータを収集する「管理者」、収集したデータを処理する「処理者」、個人などの「データ主体」のいずれかがEU圏に拠点を置いている場合とあるように日本には全く関係がない規則というわけではありません。
EU圏に支店などがある場合は当然対象となりますが、支店などが無い場合でもWebサイトにて英語版のサイトを持っており、その中でサービスを提供やCookieを取得していた場合にユーザーの中にEU圏のユーザーがいるとGDPRの範囲に含まれてしまいます。
他には、旅行などで短期間であってもEU圏に滞在した人の情報についても同じようにGDPRの適用範囲に入ってしまいます。このようにWebなどで意図せずGDPRの範囲内に入っていることも考えられるので英語版サイトを持っている場合には一度確認すると良いでしょう。
GDPRへの対応と個人情報の範囲
GDPRは「EU圏の」という部分があるため、提供しているサービスが日本だけで完結しているようであれば特に対応する部分はありません。逆に、海外からの利用者があるようなサービスであればGDPRの適用範囲に入る可能性があるため、利用者の確認を行いEU圏からのアクセスがある場合は、GDPRの保護規則に合った対応をする必要があります。
日本国内ではCookieなどのオンライン識別子は対象外ですが、今後の個人情報の範囲にオンライン識別子も対象として入ってくるかもしれません。
個人情報の取り扱いについては現行法に合わせたセキュリティ対策を行うなど今後も注意していきましょう。
- 最新記事