GDPRの影響とWeb担当者が確認すべきこと
個人データ取り扱い規則『GDPR』をご存知でしょうか?Google Analyticsのデータ削除アラートやFacebookの個人データ流出事件などで取り沙汰されていますが、対策を取るべき範囲が広すぎて何から手を付ければ良いのか分からない方も多いのではないでしょうか。法律は既に施行されているため、のんびりしている暇はありません。
今回は、GDPRについて調査した内容をもとに、Web担当者が確認すべき項目をご紹介します。
そもそも「GDPR」とは?
GDPR(General Data Protection Regulation)は、2018年5月25日にEUで施行された個人情報保護の新しい法律で、日本では「一般データ保護規則」と呼ばれています。
具体的に何が規制されるのか?
GDPRは、EEA(European Economic Area)域内に所在する「個人データ」の「処理」と「移転」を規制します。それぞれの定義を具体的に掘り下げると以下の通りです。
個人データとは?
氏名、所在地データ、メールアドレス、クレジットカード情報、パスポート情報などの個人情報に加え、IPアドレスやCookie情報などのオンライン識別子も含まれます。短期出張や旅行で一時的にEEA域内に所在する日本人の個人データも含まれます。
処理とは?
メールアドレスの収集やクレジットカード情報の保存、顧客の連絡先詳細の変更など、自動的手段か否かに関わらず個人データに対して行われるすべての操作を指します。EEA域内で商品やサービス提供をしている企業や従業員を雇用している企業は、日常的に何かしらの処理を行っているでしょう。
移転とは?
個人データを含んだ文書を郵便や電子メールで送付するなど、EEA域外の第三者に対して個人データを閲覧可能な状態にする行為を指します。
日本企業がGDPRの適用対象になる場合
GDPRはEUの法律ですが、場合によっては日本の企業でも適用対象となります。
対象となる企業は?
1. EEA域内に拠点がある企業
EEA域内に子会社や支店、営業所などがある場合、顧客や従業員の個人データを持っているため、GDPRの適用対象となります。その個人データを日本の本社に移転させている場合も適用対象です。
2. 日本からEUに商品やサービスを提供している企業
日本の本社が直接個人データを収集している形になるため、EEA域内に拠点がない場合でも適用対象です。
3. EUから個人データの処理を委託されている企業
データセンター事業者やクラウドベンダーなど、EEA域内企業から個人データの処理を受託している日本企業も含まれます。
GDPRはIPアドレスやCookieも個人データと見なします。Google Analyticsなどのツールを導入している場合、GDPRの規制対象となる可能性があります。
もし守らなければ、巨額の制裁金が課せられることも
GDPRに違反すれば、最高で数十億円以上の巨額の制裁金が課せられる可能性があります。例えば、個人データを適法に処理しなかった場合や移転条件に従わなかった場合、2000万ユーロまたは全世界年間売り上げ高の4%のいずれか高い方が適用されます。
Web担当者として確認すべきことは?
EEA域内へ商品やサービスを提供している企業はもちろん、EEA域内からCookie情報を取得している企業もGDPRの対策が必要です。具体的には以下の対応策が考えられます。
事業に必要なデータの用途と処理過程を定義する
訪問者へ分かりやすく説明する(プライバシーポリシーやCookieポリシー、入力フォーム掲載ページで)
GDPRに対応できる体制やルール、機能を持ったツールや委託先を選ぶ
データ取得と用途について、訪問者から事前の明示的な同意を得る
訪問者からデータの確認や削除要求を受けた場合は対応する
目的達成に必要な保管期間を過ぎたデータは削除する
個人情報の取り扱いについてサイト上で明示し、ユーザーの目にとまりやすい位置に個人データ提供の同意に関するお知らせを表示させると共に、必要であればデータ提供拒否(オプトアウト)の方法をきちんと説明することが重要です。
まとめ
GDPR対策は世界各国で進む個人データ保護規制の一環です。施行されたにも関わらず、まだ対策が完了していない企業も多いのではないでしょうか。プライバシーポリシーの情報更新やユーザーにわかりやすく知らせる機能の実装は、比較的作業負荷も少なく対応できますので、参考にしてください。
ブリッジコーポレーションでは、GDPR対策に限らず、プライバシーポリシーの記載や個人データ収集の説明についてもサポートしております。ご不明点がある場合は、お気軽にお問い合わせください。