GDPR(EU一般データ保護規則)とは?日本企業への影響や対策方法を解説

西 正広

Marketing Strategist / Data Analyst

記事をシェア

GDPR(EU一般データ保護規則)とは?日本企業への影響や対策方法を解説

GDPR(General Data Protection Regulation)とは、欧州連合(EU)が2018年5月25日に、EEA(EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)地域における個人データの保護を目的に制定した法令のことです。

→  EEA地域とは?

これは、インターネットの浸透によって私たち個人が多くの情報を気軽に手に入れることができるようになった反面、企業も膨大な個人データを取得できるようになった背景を受けて、個人や企業のコントロールが及ばない範囲で「個人の権利」が侵害されることを防ぐことを目的としています

GDPRはEUの法令のため、日本あるいは日系企業には直接的に関係のない話かと思われるかもしれませんが、GDPRの第1章・第3条「地理的適用範囲」には以下のように明記されています。

本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

つまり、子会社や関連会社がEEA圏内に所在する場合や、同圏内に所在する顧客のデータを取り扱う場合にも、GDPRの規制の対象となります。

規則に違反すると、制裁金が科されるなど罰則規定も設けられていますので、企業はGDPRの基本原則や適用要件を、しっかりと頭に入れておく必要があるでしょう。

本記事では、GDPRの基本的な情報や日本企業への影響、取るべき対策について解説していきます。

※本記事はGDPRの条文をもとに作成していますが、記事内で提供した内容に関して、ユーザーが不利益等を被る事態が生じたとしても、当社は一切の責任を負いかねますので、ご了承ください。個別のケースでGDPRにお困りの方は、弁護士等の専門家に相談することをおすすめします。

GDPRで保護対象となる「個人データ」とは?

まず、GDPRで保護対象となる「個人データ」とは一体なんのことを指すのでしょうか。その定義から確認していきます。

GDPRでは、以下のように個人データを定義しています。

「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照するこ とによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示 す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

つまり、特定の個人と識別できる可能性がある情報(複数の要素を参照することで識別できる情報も含む)は、全て個人データと解釈できます。個人データには、主に以下のものが該当します。

  • 個人の氏名(顧客名簿・従業員の名簿・株主名簿など)
  • 識別番号(旅券番号・運転免許証・指紋認識データ・顔認証データ・住所・電話番号・メールアドレス・クレジットカード情報など)
  • 位置データ(GPSデータ・基地局データなど)
  • オンライン識別子(IPアドレス・Cookieデータなど)

「IPアドレス」や「Cookie」も個人データに含まれる

個人データに該当する範囲は、基本的に日本国内の法律である「個人情報保護法」の定義と同じと解釈して問題ありませんが、一点だけ気を付けるべき項目があります。

それは、IPアドレスやCookieデータといった「オンライン識別子」の取得や処理に関しても、規制対象に含まれることです。特にCookieデータは、Web広告(ターゲティング広告)やECサイト・DMP等で利用される情報ですが、GDPRでは「個人データ」に該当します。

2019年には、スペイン・バルセロナを拠点とする格安航空会社「ブエリング航空(Vueling Airlines)」が、同社のWebサイトを利用するユーザーに対して、クッキーの利用に関する同意・拒否のを選択できる機能を実装していなかったことや、クッキーポリシーに正確な利用目的を記載していなかったとして、スペインデータ保護局より3万ユーロ(約420万円)の制裁金を科される事例も発生しています。

参考:日経クロステック(xTECH)「EU各国が監視強化、「海外クッキー規制対応」は日本企業も他人事ではない」

今や、Webマーケティングを展開するほぼ全ての企業がCookie情報と何らかの関わりを持っている現在において、「オンライン識別子」がGDPRの規制対象であることを、しっかりと頭に入れておく必要があります。

なお、オンライン識別子を含む個人データは、データ主体(個人・ユーザー)が取得や利用の目的に明確に同意した場合には、規制の対象にはなりません

GDPRで規制される3つのこと

ここからは、具体的にGDPRで規制される事柄に関して、「個人データの処理」「個人データの移転」「基本的人権」の3つの視点から見ていきます。

1. 個人データの処理

個人データの処理とは、データの取得・記録・修正・使用といった一連の業務を指します

自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

例えば、メールアドレスやCookie情報、クレジットカード情報の収集・連絡先や住所などを含む顧客リストの作成や変更などの行為が該当します。

個人データの処理に関して、規制のポイントとなるのは、以下の6点です

  1. 企業は、個人データの処理に関して、データ主体(個人・ユーザー)の明確な同意を得なければいけない。
  2. 適法であり、公正であり、かつ透明性が保たれる形で、個人データを処理しなければいけない。
  3. 個人データの処理目的のために必要な期間が過ぎた場合は、データを破棄しなければならない。
  4. データ主体(個人・ユーザー)が同意している場合は、管理者(企業)が証明できるようにしなければならない。
  5. 個人データ侵害(ハッキング等の情報漏えい)が発生した場合は、72時間以内に所定の監督機関に通知を行わなければならない。
  6. 大量の個人データを取り扱う場合には、データ保護オフィサーを任命しなければならない。

最も重要なポイントが、「企業は、個人データの処理に関して、データ主体(個人・ユーザー)の明確な同意を得なければいけない」点です。

企業は、個人データ取得時に、管理者の連絡先・データオフィサーの連絡先(必要な場合のみ)・個人データの取得目的・データが保存される期間・同意を撤回できる権利などををユーザーにわかりやすく明示した上で、同意を得る必要があります。

2. 個人データの移転

EEA(欧州経済領域)域内で取得した個人データを、EEA域外の第三国に移転することは原則的に禁止されています。つまり、EEA域内でサービスを展開し、そこで取得した個人データをEEA域外で閲覧することや、広告に使用することはできません。

ただし、これには例外があります。

  1. EUから十分な保護措置が取られていると認定された国や地域への個人データ移転
  2. 十分な保護措置が行われている場合の個人データ移転(拘束的企業準則・標準契約条項の締結)
  3. 特例によるデータ移転

日本は欧州委員会(EU)から、十分なレベルの個人データの保護措置が取られている国家として正式認定を受けています(2019年1月23日)。そのため、拘束的企業準則や標準契約条項といった、データの「提供側」と「受領側」で個別の契約を締結しなくても、個人データの移転が可能になりました。

これは、日本国内の各企業がGDPRの規定を遵守すれば、EEA域内の個人データを日本でも扱えることになり、円滑なデータ移転ができることを意味します。

参考:ジェトロ「日EU間で個人データ保護水準に関する相互十分性を認定(日本、EU)

3. 基本的人権の保護

GDPRの条文には、基本的人権を保護することが明記されています

本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

基本的人権の保護に関して、留意すべきポイントとして以下のようなものがあります。

  1. データ主体は、自己の同意をいつでも撤回する権利を有する。
  2. 16歳未満の子どもの場合、親権上の責任がある者の同意が必要である。
  3. 個人データがデータ主体から直接的に取得された場合ではない時には、データ主体に対して適切な情報を提供しなければならない。

例えばGDPRでは、「情報社会サービスとの関係において子どもの同意に適用される要件」において、16歳未満の子どもの個人データの提供に関しては、保護者の同意が必要であると明記しています。しかし、世界的にサービスを提供しているゲーム会社の場合、データ主体(ユーザー)が16歳未満の可能性を100%は否定できません。

また、個人データがデータ主体から直接的に取得していない場合にも、注意が必要です。例えば、DMP(データマネジメントプラットフォーム)を活用し、セカンドパーティデータ・サードパーティデータ(※自社で取得したデータ以外のデータ)を利用している場合には、個人の同意が明確に得られていない可能性があります。

GDPRの日本企業への影響は?適用される4つのケース

EEA(欧州経済領域)でビジネスを展開している日本企業はもちろんのこと、それ以外の日本企業にもGDPRは適応されます。ここからは、どのようなケースでGDPRが適応されるのかを見ていきましょう。

以下の4つのケースの場合、GDPRの適用対象となります。

1. EEA域内に子会社や支店がある場合

EEA域内に、子会社や支店がある場合は、GDPRの規制対象となります。

本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

2. EEA域内のユーザーに対して商品やサービスを提供している場合

EEA域内に、子会社や支店を有していなくても、EEA域内のユーザーに対して商品やサービスを提供している場合は、GDPRの規制対象となります。

データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

3. EEA域内のユーザー行動を把握・分析する場合

EEA域内に子会社や支店がない、またEEA域内のユーザーに対して商品やサービスを提供していない場合でも、EEA域内のユーザー行動を把握・分析する場合には、GDPRの規制対象となります。

例えば、海外向けに英語のサイトを公開し、EEA域内のユーザーが訪問、氏名やクッキー情報など個人データを取得していた場合、GDPRが適用されます。

データ主体の行動がEU 域内で行われるものである限り、その行動の監視。

引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文

4. EEA域内から個人データの処理について委託を受けている場合

EEA域内で個人データを直接的に取得していなくても、EEA域内で取得した個人データの処理を委託されている日本企業は、GDPRの規制対象となります。

GDPRに違反した場合の罰則は?

GDPRに違反した場合は、監督機関が個別の企業に対して、制裁金を科すことができます。

  1. 1,000万ユーロ(約12億円)以下、もしくは直前の会計年度における世界全体における売上総額の2%以下、いづれか高額な方
  2. 2,000万ユーロ(約24億円)以下、もしくは直前の会計年度における世界全体における売上総額の4%以下、いづれか高額な方

仮に、世界全体の売上総額が1,000億円の場合、20億円もしくは40億円と非常に高額な制裁金が科されます。(1ユーロ、120円で算出)

ただし、違反の重大性や故意性・持続期間・被害を被ったデータ主体の人数によって、制裁金が科されるかどうか、また制裁金の額が個別に判断されます。上記の2つの制裁金がそのまま科される訳でないことに留意しましょう。

実際に、ドイツ企業である「”knuddels.de“」が、ユーザーのパスワードを暗号化していなかったことにより、約33万人の個人データが流出した事案について、ドイツ・バーデン=ヴュルテンベルク州のデータ保護当局が2018年に同社に対して、制裁金を科しています。

しかし、「”knuddels.de”」が早急に監督局に通知を行ったことや、保護レベルを上げる対策を実施したことが考慮され、売上総額の2%よりも低い「2万ユーロ(約240万円)」の制裁に留まっています。

GDPRにどのように対応していけば良いのか

GDPRは、直接的にEEA域内に子会社や支店を構えている日本企業のみならず、商品やサービスをEEA域内のユーザーに展開している企業、またEEA域内のユーザーの個人データを取得している企業に適用されることがわかりました。これは、非常に多くの日本企業が該当すると言えるでしょう。

また、日本国内においても、2020年6月に個人情報保護法が改正し、Cookie情報に関する規制が強まっています。(※今回の改正では、Cookie情報を個人関連情報を定義し、第三者へ提供する場合には、本人への情報提供や同意が新たに義務付けられています。)

このように、個人データ並びに個人情報の取り扱いは、非常に厳しくなっているため、企業は早急に対策を講じることが求められます

具体的には、以下のような点を確認し、GDPRの基準を満たしていない場合には、企業内のルールを変更する必要があります。

  • GDPRの規制内容や適用される企業を把握しているか
  • 個人データや個人情報の取得が行われているか
  • 取得されているのであれば、どこの部署・部門で行われているか
  • 大量の個人データを取得しているのであれば、データ保護オフィサーを任命しているか
  • 第三者へのデータ提供を行っているか
  • 第三者からのデータ提供を受けているか(DMP等のデータベンダー)
  • オンライン識別子を取得している場合には、その利用目的やユーザーの同意を明確に得ているか

まとめ|GDPRの規制内容や適用対象を適切に理解し、早急に対策を進めよう

本記事では、GDPRの基本的な原則や、適用対象となる企業、そして制裁金などに関して解説をしました。

GDPRは認証マークのようなものが存在しないため、ある日突然、罰則の対象となる可能性があります。多額の制裁金が科される、取引の中止を求められるケースもあり、事業そのものをストップしないとならないといった可能性も出てきます。

企業の担当者は、まずはGDPRについて適切に理解し、対象の範囲なのであれば、早急に対策を進めるようにしましょう。対策においては、EEA域内の子会社や支店、セキュリティ部門、総務部門、人事部門など部署を横断した取り組みが必要です。セキュリティ対策チームを構築するなど、全社的に対策を進めていくことが求められるでしょう。

この記事を書いたメンバー

MASAHIRO NISHI

西 正広

Marketing Strategist / Data Analyst

1983年生まれ。大手不動産賃貸事業会社におけるWebディレクション・デジタルマーケティング業務後、インターネット専業広告代理店・株式会社電通デジタルにてアクセス解析・DMP・レコメンデーション・BIツールなどの導入・活用支援に取り組む。 2019年7月よりMOLTSに参画し、2020年より子会社KASCADEを設立し、取締役に就任。データに基づくサービス改善、ビッグデータ活用のコンサルティング、インハウス運用、データドリブンなマーケティング組織の構築を支援する。

  1. MOLTS
  2. データ戦略
  3. ナレッジ
  4. GDPR(EU一般データ保護規則)とは?日本企業への影響や対策方法を解説