【簡単に分かる】GDPRの国内影響から考える3つの強化策

サイト制作

GDPRの概要や日本への影響・対応策をまとめて解説!
個人データ保護について定めるGDPRは、ヨーロッパの欧州委員会で策定されました。しかし、その対象範囲はEU内だけでなく、EUに関係を持つ諸外国の企業も含まれます。
そのため、日本の企業でもGDPRの理解と対策が必要です。 当記事では、GDPRで取り決められている内容や違反した場合の罰則、日本への影響、GDPRを遵守するための強化対応策について解説します。 個人情報保護への取り組みを強化したい方は、ぜひ参考にしてください。

1.GDPRとは?

GDPRは、EU加盟国にアイスランド・ノルウェー・リヒテンシュタインを加えた欧州経済領域で施行された、個人情報保護に関する規則です。 GDPRの正式名称は「General Data Protection Regulation」で、日本語ではEU一般データ保護規則と訳されます。 GDPRが施行される以前は、1995年に採択されたEUデータ保護指令が適用されていました。しかし、国によって法律の内容に差異があったため、欧州経済領域で共通のルールとして2018年5月25日からGDPRが施行されています。 GDPRで定められたルールに違反した場合の制裁金は、高額です。制裁金は、違反企業における年間売上高の4%、または2,000万ユーロのいずれか高いほうと設定されています。

1-1.GDPRで取り決められている内容

GDPRで取り決められている主な内容は、個人データの処理と、取得した個人情報を別のサービスなどで再利用するなどの移転に関する規則です。 また、自身の個人データについて本人が持つ権利や、監督機関の設置に関する規定もガイドラインに含まれます。 個人データとして扱われる情報の例は、下記の通りです。
  • 氏名
  • 住所などの所在地
  • メールアドレス
  • 電話番号
  • クレジットカード情報
  • 使用する端末のIPアドレス
  • Cookie識別子
  • GPS情報
上記以外にも、個人を特定できる固有性を持った情報は、すべて個人データとして保護対象となります。 個人データの処理に含まれる内容の例は、下記の通りです。
  • メールアドレスの取得
  • クレジットカード情報の保管
  • 氏名の公開
  • 連絡先情報の変更
  • Cookie識別子の変更や削除
  • 従業員名簿の作成
個人データの処理は、企業と顧客の間で行われる手続きだけでなく、企業が従業員の情報を取り扱う場合も含まれます。 個人データを収集するときは、利用目的の明示や同意が必要です。 また、個人データの処理に必要な期間より長く情報を保持し続けてはならないことや、情報漏洩が発生した場合は監督機関に72時間以内に通知することが定められています。 個人データの移転に含まれる内容の例は、下記の通りです。
  • 取得した個人データを別のサービスで利用すること
  • 個人データを含む電子文書を欧州経済領域外に送ること
GDPRでは、個人データの移転は基本的に禁止されています。ただし、本人の同意を得る、拘束的企業準則や標準契約条項を定めるなどの条件を満たせば、個人データの移転が可能です。

2.日本への影響はある?

GDPRはヨーロッパで定められた規則ですが、日本の国内企業にも影響を与える可能性があります。 GDPRが適用される条件は、下記の通りです。
  • 個人データの管理者または処理者が、欧州経済領域内で処理を行う場合
  • 欧州経済領域に拠点を有しない管理者または処理者が、欧州経済領域内のデータ主体に商品やサービスを提供する場合
  • 欧州経済領域に拠点を有しない管理者または処理者が、欧州経済領域内のデータ主体について行動を監視する場合
上記の適用条件に1つでも当てはまれば、日本企業であってもGDPRが適用されます。 GDPRの影響を受ける企業の具体例は、次の通りです。
  • 子会社や支店、営業所などをEU加盟国に有している企業
  • 日本からEU加盟国の消費者に対して、商品やサービスを提供している企業
  • EU加盟国の企業から個人データの処理を委託されている企業

一方で、日本は欧州委員会から十分性認定を受けたことにより、2019年1月23日にGDPRの例外として認定されました。

出典:経済産業省「欧州一般データ保護規則(GDPR)について」

十分性認定とは、EUと同じレベルのデータ保護水準を持つ国を認定する制度です。十分性認定を受けた国は、その国の個人情報保護の仕組みや国内法に基づいて個人データを扱うことができます。 ただし、日本の企業がEU域内で個人情報を収集する場合などは、引き続きGDPRの対象です。十分性認定を受けたものの、GDPRの影響が完全になくなったわけではないことに注意し、適切な対応を行いましょう。

3.GDPRにはどう対応するべきか?

GDPRは日本企業も影響を受ける可能性があるため、正しく対応する必要があります。 GDPRへの具体的な対策手順は、現状の把握と対応方法の浸透、そして対応策の継続です。また、対応策を実施する中で改善すべき点が見つかれば、修正を行いましょう。 ここでは、GDPRへの対応策について具体的に解説します。

3-1.現状の把握

GDPRに対応するためにも、まずは現状を把握することが大切です。自社がGDPRの対象にあたるかどうか、対象にあたる場合は個人データの取り扱いがどのようになっているかを確認しましょう。 ウェブサイトを運営している企業では、EU域内のユーザーからアクセスがあるかを確認してください。特に、ウェブサイト上でCookieなどの情報を取得している場合は、GDPRへの対応が必要です。 また、EU居住者に提供している商品やサービスは、個人情報の処理方法をGDPRに対応させましょう。 たとえば、ユーザーの許可を得ない状態で個人情報やCookieのデータを取得している場合は、ユーザーへ使用許可を求めるようにウェブサイトの変更を行ってください。

3-2.対応方法の浸透

GDPRへの対応方法が定まったら、社内に浸透させることも重要です。GDPRを遵守するためには、DPOの設置やプライバシーポリシーの作成が求められます。 DPOとは、「Data Protection Officer(データ保護責任者)」の頭文字をとった略称です。DPOに指名された人は、企業におけるデータ管理やデータ処理に関する説明責任を負います。 DPOが行うべき業務は、個人データを扱う社員への訓練や監査、GDPRの遵守状況チェック、監督機関との連絡窓口などです。 DPOに求められるスキルを持つ人材が社内にいない場合は、社外に依頼することもできます。 プライバシーポリシーは、個人データの取得や利用目的、処理内容を記載した文書です。 プライバシーポリシーに記載すべき情報には、下記のような項目があります。
  • 取得する個人データの内容
  • 個人データを取得する目的
  • 個人データの利用方法
  • 個人データを保存する期間
  • 第三者への個人データの開示や共有について
  • セキュリティ対策
  • Cookieなどの取り扱い
  • 個人データ修正や削除、追加について
  • プライバシーポリシーの変更について
  • 外部のウェブサイトへのリンクについて
  • 他地域へのデータ転送
  • 連絡先
  • プライバシーポリシーの制定日、改訂日
GDPRへの対応方法は、これらの体制や文書を整えるだけでなく、社員へ周知することで浸透させましょう。

3-3.対応策の継続・見直し

GDPRへの対応策には、継続的な実施と見直しが必要です。たとえば、新しい商品やサービスをリリースする場合は、GDPRへの対応が適切かを確認しましょう。 また、万が一データ漏洩などのトラブルが起きた場合には、関係機関への報告が義務付けられています。報告期限は72時間以内と定められているため、トラブル発生時に速やかに対応できる体制を日頃から整えておくことが重要です。

4.個人情報保護の流れはさらなる加速が予想される

世界的な流れとして、個人情報保護にまつわる変化はさらなる加速が予想されます。たとえばアメリカでは、GDPRに似た内容のCONSENT法案が2018年に提案されました。 近年は情報技術が進歩したことで、Cookieなどのオンライン識別子をもとに広告のターゲティングが可能です。 一方で、個人情報が意図せぬ形で企業に利用されたり、外部に流出したりするリスクも高まっています。そのため、個人情報保護への対応は企業が取り組むべき重要な課題です。 自社の個人情報保護対策に不安を感じる場合は、専門知識を持つ業者に相談することをおすすめします。Webマーケターが在籍するSEO業者なら、個人情報保護に配慮したウェブサイト運営についてのアドバイスや、作業のサポートが可能です。

まとめ

GDPRは欧州委員会によって定められた個人情報管理に関する規則ですが、EU域外に拠点を持つ事業者も対象となります。GDPRに違反した企業には高額な制裁金が科されるため、慎重な対応が必要です。 ウェブサイトにEU域内からのアクセスがある場合や、EU域内の消費者に商品やサービスを提供している場合は、GDPRの取り決めを遵守しましょう。 また、自社のGDPR対応状況に不安がある場合は、専門業者への相談をおすすめします。当記事を参考に、ぜひ個人情報保護対策を行ってください。
中小企業の採用成功モデル!2024年に中小企業がすべき「採用」と「定着」の人事戦略 初心者でも使いこなせるSEO一元管理ツールCANALY

RANKING

TOTAL
WEEKLY
中小企業の採用成功モデル!2024年に中小企業がすべき「採用」と「定着」の人事戦略
上部へ戻る
CANALY

300分かかる競合分析が1分で可能に無料で分析してみる

  • 分かりやすい操作で簡単に分析
  • SEOに必要な機能がAll in One
  • ずっと無料で使い続けられる
CANALYを無料で試す
CANALY