【簡単に分かる】GDPRの国内影響から考える3つの強化策

そのため、日本の企業でもGDPRの理解と対策が必要です。 当記事では、GDPRで取り決められている内容や違反した場合の罰則、日本への影響、GDPRを遵守するための強化対応策について解説します。 個人情報保護への取り組みを強化したい方は、ぜひ参考にしてください。

GDPRは、EU加盟国にアイスランド・ノルウェー・リヒテンシュタインを加えた欧州経済領域で施行された、個人情報保護に関する規則です。 GDPRの正式名称は「General Data Protection Regulation」で、日本語ではEU一般データ保護規則と訳されます。 GDPRが施行される以前は、1995年に採択されたEUデータ保護指令が適用されていました。しかし、国によって法律の内容に差異があったため、欧州経済領域で共通のルールとして2018年5月25日からGDPRが施行されています。 GDPRで定められたルールに違反した場合の制裁金は、高額です。制裁金は、違反企業における年間売上高の4％、または2,000万ユーロのいずれか高いほうと設定されています。

GDPRで取り決められている主な内容は、個人データの処理と、取得した個人情報を別のサービスなどで再利用するなどの移転に関する規則です。 また、自身の個人データについて本人が持つ権利や、監督機関の設置に関する規定もガイドラインに含まれます。 個人データとして扱われる情報の例は、下記の通りです。 上記以外にも、個人を特定できる固有性を持った情報は、すべて個人データとして保護対象となります。 個人データの処理に含まれる内容の例は、下記の通りです。 個人データの処理は、企業と顧客の間で行われる手続きだけでなく、企業が従業員の情報を取り扱う場合も含まれます。 個人データを収集するときは、利用目的の明示や同意が必要です。 また、個人データの処理に必要な期間より長く情報を保持し続けてはならないことや、情報漏洩が発生した場合は監督機関に72時間以内に通知することが定められています。 個人データの移転に含まれる内容の例は、下記の通りです。 GDPRでは、個人データの移転は基本的に禁止されています。ただし、本人の同意を得る、拘束的企業準則や標準契約条項を定めるなどの条件を満たせば、個人データの移転が可能です。

GDPRはヨーロッパで定められた規則ですが、日本の国内企業にも影響を与える可能性があります。 GDPRが適用される条件は、下記の通りです。 上記の適用条件に1つでも当てはまれば、日本企業であってもGDPRが適用されます。 GDPRの影響を受ける企業の具体例は、次の通りです。

一方で、日本は欧州委員会から十分性認定を受けたことにより、2019年1月23日にGDPRの例外として認定されました。

出典：経済産業省「欧州一般データ保護規則（GDPR）について」

十分性認定とは、EUと同じレベルのデータ保護水準を持つ国を認定する制度です。十分性認定を受けた国は、その国の個人情報保護の仕組みや国内法に基づいて個人データを扱うことができます。 ただし、日本の企業がEU域内で個人情報を収集する場合などは、引き続きGDPRの対象です。十分性認定を受けたものの、GDPRの影響が完全になくなったわけではないことに注意し、適切な対応を行いましょう。

GDPRは日本企業も影響を受ける可能性があるため、正しく対応する必要があります。 GDPRへの具体的な対策手順は、現状の把握と対応方法の浸透、そして対応策の継続です。また、対応策を実施する中で改善すべき点が見つかれば、修正を行いましょう。 ここでは、GDPRへの対応策について具体的に解説します。

GDPRに対応するためにも、まずは現状を把握することが大切です。自社がGDPRの対象にあたるかどうか、対象にあたる場合は個人データの取り扱いがどのようになっているかを確認しましょう。 ウェブサイトを運営している企業では、EU域内のユーザーからアクセスがあるかを確認してください。特に、ウェブサイト上でCookieなどの情報を取得している場合は、GDPRへの対応が必要です。 また、EU居住者に提供している商品やサービスは、個人情報の処理方法をGDPRに対応させましょう。 たとえば、ユーザーの許可を得ない状態で個人情報やCookieのデータを取得している場合は、ユーザーへ使用許可を求めるようにウェブサイトの変更を行ってください。

GDPRへの対応方法が定まったら、社内に浸透させることも重要です。GDPRを遵守するためには、DPOの設置やプライバシーポリシーの作成が求められます。 DPOとは、「Data Protection Officer（データ保護責任者）」の頭文字をとった略称です。DPOに指名された人は、企業におけるデータ管理やデータ処理に関する説明責任を負います。 DPOが行うべき業務は、個人データを扱う社員への訓練や監査、GDPRの遵守状況チェック、監督機関との連絡窓口などです。 DPOに求められるスキルを持つ人材が社内にいない場合は、社外に依頼することもできます。 プライバシーポリシーは、個人データの取得や利用目的、処理内容を記載した文書です。 プライバシーポリシーに記載すべき情報には、下記のような項目があります。 GDPRへの対応方法は、これらの体制や文書を整えるだけでなく、社員へ周知することで浸透させましょう。

GDPRへの対応策には、継続的な実施と見直しが必要です。たとえば、新しい商品やサービスをリリースする場合は、GDPRへの対応が適切かを確認しましょう。 また、万が一データ漏洩などのトラブルが起きた場合には、関係機関への報告が義務付けられています。報告期限は72時間以内と定められているため、トラブル発生時に速やかに対応できる体制を日頃から整えておくことが重要です。

世界的な流れとして、個人情報保護にまつわる変化はさらなる加速が予想されます。たとえばアメリカでは、GDPRに似た内容のCONSENT法案が2018年に提案されました。 近年は情報技術が進歩したことで、Cookieなどのオンライン識別子をもとに広告のターゲティングが可能です。 一方で、個人情報が意図せぬ形で企業に利用されたり、外部に流出したりするリスクも高まっています。そのため、個人情報保護への対応は企業が取り組むべき重要な課題です。 自社の個人情報保護対策に不安を感じる場合は、専門知識を持つ業者に相談することをおすすめします。Webマーケターが在籍するSEO業者なら、個人情報保護に配慮したウェブサイト運営についてのアドバイスや、作業のサポートが可能です。

GDPRは欧州委員会によって定められた個人情報管理に関する規則ですが、EU域外に拠点を持つ事業者も対象となります。GDPRに違反した企業には高額な制裁金が科されるため、慎重な対応が必要です。 ウェブサイトにEU域内からのアクセスがある場合や、EU域内の消費者に商品やサービスを提供している場合は、GDPRの取り決めを遵守しましょう。 また、自社のGDPR対応状況に不安がある場合は、専門業者への相談をおすすめします。当記事を参考に、ぜひ個人情報保護対策を行ってください。