GDPR・改定個人情報保護法って対応すべき?
GDPR・改正個人情報保護法の対策はお済みですか?
・EU圏のクライアントとやりとりする、顧客が利用する可能性がある企業については対策が必要(GDPR対策)
・国内でも個人関連情報データベース等を構成する「個人関連情報」を、第三者が個人データとして取得する場合には、提供元の事業者は、本人の同意が得られているか等を確認する必要がある(改定個人情報保護法対策)
上記2点に当てはまる企業はオプトアウト形式の同意バナーの設置が義務付けられています。知らずに情報漏洩へ第三者への提供をしてしまった場合は厳しい罰則もあるので本記事で改めて対策の必要有無を確認していただけたら幸いです。
GDPRとは?
「EU一般データ保護規則」(GDPR:General Data Protection Regulation)とは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことで、2018年5月25日に施行されました。自然人の基本的な権利の保護という観点から、個人情報の扱いについて規制を行っています。GDPR以前のEUデータ保護指令からさらに厳格化されており、具体的に重要な規制は以下のような事項です。
・本人が自身の個人データの削除を個人データの管理者に要求できる
・自身の個人データを簡単に取得でき、別のサービスに再利用できる(データポータビリティ)
・個人データの侵害を迅速に知ることができる
・個人データの管理者は個人データ侵害に気付いた時から72時間以内に、規制当局へ当該個人データ侵害を通知することが求められ、また、将来的には本人への報告も求められる。
・サービスやシステムはデータ保護の観点で設計され、データ保護されることを基本概念とする
・法令違反時の罰則強化
・監視、暗号化、匿名化などのセキュリティ要件の明確化
GDPRの特徴は、規制に違反したときに多額の制裁金が課せられることです。EU居住者の個人データを取り扱う場合、EUで活動する企業だけではなく、企業規模に関わらず、多くの日本企業にとっても対応が求められています。
日本企業が対応すべきポイントを考える
要するに
・EU圏内では情報漏洩を絶対に許しません
・EU圏外の国でもEU圏の個人情報を漏洩したら罰金です
・今までは対象外だったCookieも対象になるので勝手に取得しないでください
すでにこんな事例も
GDPRの罰則はかなり厳しく、万が一漏洩があった場合は高額な罰金を科せられるケースがあります。
対象企業と対応策は?
・EU圏でのビジネスに関与している場合
・日本の改正個人情報保護法は正直あんまり関係ありませんが、個人情報のデータベースを持ち、第三者に提供する場合
・厳密にはEU圏からのアクセスを排除しない限りすべての企業が対象となるため万が一にも備えたい場合
上記に当てはまる企業はオプトアウト(同意しない)形式でのCookieバナー設置が必要になります。
改正個人情報保護法があまり関係ない理由としてはまだ規制の範囲が狭く、”情報を取り扱い・情報を受け渡し・受け渡し先で個人情報になりえる”このケースだけが規制の対象となります。
そのため、現在対策している企業の多くはGDPRへの対応がメインになるのではないでしょうか。
GoogleAnalyticsは個人情報?
・EU圏はCookieも個人情報とされるためにGoogleAnalyticsの利用のためでも同意が必要です
・日本の改正個人情報保護法においてはCookie自体は個人情報とはみなされず組み合わせて個人情報になり得る場合のみ注意が必要です
・個人情報取得の同意バナー設置義務は提供元企業にあります
※日本の個人情報保護法では上記の場合A社が同意バナー設置対象になる
さいごに
グローバル展開をする企業や全世界向けに販売するECサイトはGDPR対応のために早急に対応しましょう。国内向けでデータ提供などを行う予定のない企業もこれを機に個人情報の取り扱いについて一度見直してみてはいかがでしょうか。
メタフェイズでは、GDPR、改正個人情報保護法のご相談からUI/UXに配慮したホームページの新規作成、各種リニューアルをご提供しております。
お気軽に、お問い合わせ・ご相談ください。
🖥 コーポレートサイト 🖥
🩺 Webサイト診断ツール 🩺
メタフェイズのノウハウを集結させた
オリジナルの簡易Webサイト診断ツール
Webサイトの課題発見や、
リニューアルの参考にご活用ください。