あなたは「GDPR」という言葉をご存知ですか?
「GDPR」はEUで施行された法令ですが、実は日本企業にも大きく影響があります。
とくにWeb担当者が知っておくべき「GDPR」について、日本企業が取るべき対策のポイントをわかりやすく解説いたします。
目次
GDPRとは
GDPRは「General Data Protection Regulation」の頭文字をつなげた略語で、日本語では「一般データ保護規則」と呼ばれています。
2018年5月25日にEU(欧州連合)が施行しました。
GDPRとは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことです。
GDPRの第一の目的は、個人データを企業が適切に管理することです。
さらに欧州連合内での規則を統合することによって、国際的なビジネスのためのルールを統一する目的もあります。
GDPRに従わなかった場合、罰金として最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が適用されます。
2000万ユーロ=約25億となるので、企業の経営におけるダメージは計り知れないものになります。
GDPRにおける「個人データ」とは
GDPRにおける「個人データ」とは以下のものが対象となります。
- 氏名
- 位置情報
- メールアドレス
- オンライン識別子(IPアドレス、Cookie)
- パスポート番号
- クレジットカード番号
- 健康診断結果
日本の個人情報保護法との大きな違いは、IPアドレスやCookieなども含まれている点です。
GDPRでは欧州経済領域(以下、EEA)内で取得された全ての個人データ等が保護の対象となります。
EEAはEU加盟国にアイルランド、リヒテンシュタイン、ノルウェーを加えた地域を指します。
GDPRでは主に個人データの「処理(Process)」と「移転(Transfer)」に関して規定が定められています。
GDPRでの「処理(Process)」の定義
GDPR 第4条(2)にて下記のように定められています。
処理とは、自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業または一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものにすること、整列または結合、制限、消去または破壊することをいう。
つまり「個人データ」を適切に管理することを指しています。
GDPRでの「移転(Transfer)」の定義
GDPRにおいて移転(Transfer)の定義は今のところされていません。
GDPRの対象になる「EEA(欧州経済領域)圏内の個人データを第三国や国際機関に対し閲覧可能にする行為」が該当します。
認められていない国は、個人データの移転は違反になります。
また、EEA外に個人データを移転することは、移転先の国・地域が十分に個人データ保護を講じている場合においてのみ認められています。
個人データの移転(例)
- EEA内から個人データを含んだ電子形式の文書を電子メールで EEA 外に送付する
- EEA内の子会社から従業員個人データをEEA外の親会社に移転する
- EEA内のクラウド事業者がEEA内で取得した個人データをEEA外のクラウド事業者に再委託する
日本企業への影響について
GDPRは実は日本企業にも大きく影響があります。
- EU域内に支店・子会社などを所有している場合
- EU域内から「個人データ」の移転を受けている場合
- 日本国内からEUに向けて商品・サービスを提供している場合
それぞれ詳しく解説します。
EU域内に支店・子会社などを所有している場合
EU域内に支店・子会社などを所有している場合、そこで取得した個人データの取り扱いはGDPRによって守られています。
本社がEU域外でも、免除されることはありません。
EU域内から「個人データ」の移転を受けている場合
EU域内で取得された個人データを日本で受け取る場合もGDPRの対象となります。
他企業からの委託のような、取得には直接関わっていない個人データについても、GDPRを遵守した取り扱いが求められます。
日本国内からEUに向けて商品・サービスを提供している場合
ECサイトなどで日本からEU域内に商品販売やサービス提供を行っている企業にもGDPRが適用されます。
GDPRにおける判断基準は「EU域内の個人データ」がどのように取り扱われるかどうかであり、データ取得者・処理者の所在地は重視されません。
日本企業が取るべき対策のポイント
GDPRについて、日本企業が取るべき対策のポイントをご紹介します。
- EU域内からのWebアクセス
- EU域内短期滞在者の個人データ
それぞれ詳しく解説します。
EU域内からのWebアクセス
EU域内から日本企業のWebサイトへのアクセス時にCookieなどの個人データを取得することも「個人データの移転」にあたり、GDPRによって守られています。
もしEUからのアクセスが多いようであれば、GDPR対策が必須になります。
EU域内短期滞在者の個人データ
個人の国籍や居住地は関係なく、EU内で取得したデータはDGPRの適用範囲になります。
「取得時にEU域内に居たかどうか」が争点となります。
日本からEUに出向した社員の個人データであっても、GDPRにもとづいて取り扱う必要があります。
まとめ:これまで以上に個人情報を適切に取り扱いましょう
日本にも個人情報保護法がありますが、さらに適用範囲を厳しくしたものが「GDPR」となります。
GDPRは日本企業も対策しなければならない規則となります。
個人データはこれまで以上に適切に取り扱い、GDPR対策について検討しましょう。
