5分でわかるGDPRとは?日本企業が今取るべき対策を解説
この記事でわかること
- そもそもGDPRとは何か、保護対象となる「個人データ」とは
- GDPRで規制される3つのこと、日本企業への影響
- GDPRにどのように対応すべきか、違反した場合の罰則
GDPR(General Data Protection Regulation)とは、欧州連合(EU)が2018年5月25日に、※EEA(EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)地域における個人データの保護を目的に制定した法令のことです。(※ EEA地域とは?)
これは、インターネットの浸透によって私たち個人が多くの情報を気軽に手に入れることができるようになった反面、企業も膨大な個人データを取得できるようになった背景を受けて、個人や企業のコントロールが及ばない範囲で「個人の権利」が侵害されることを防ぐことを目的としています。
GDPRはEUの法令のため、日本あるいは日系企業には直接的に関係のない話かと思われるかもしれませんが、GDPRの第1章・第3条「地理的適用範囲」には以下のように明記されています。
本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
つまり、子会社や関連会社がEEA圏内に所在する場合や、同圏内に所在する顧客のデータを取り扱う場合にも、GDPRの規制の対象となります。
規則に違反すると、制裁金が科されるなど罰則規定も設けられていますので、企業はGDPRの基本原則や適用要件を、しっかりと頭に入れておく必要があるでしょう。
本記事では、GDPRの基本的な情報や日本企業への影響、取るべき対策について解説していきます。
※本記事はGDPRの条文をもとに作成していますが、記事内で提供した内容に関して、ユーザーが不利益等を被る事態が生じたとしても、当社は一切の責任を負いかねますので、ご了承ください。個別のケースでGDPRにお困りの方は、弁護士等の専門家に相談することをおすすめします。
自力でのデータ活用に限界を感じたら?
もし今後、以下のような壁にぶつかったら、その道のプロに相談するという選択肢を検討してみませんか?
- 社内にデータ分析ができる専門の人材がおらず、話が前に進まない
- GA4などの解析ツールの設定がうまくいかない、活用方法に自信がない
- データ分析の基盤構築や分析結果の活用方法がわからず、行き詰まっている
データ活用を強みとする、歴15年以上のプロフェッショナルが相談に乗ります。
困った時にいつでも相談できるよう、まずは実績や提供内容が分かる資料をご覧ください。
GDPRで保護対象となる「個人データ」とは?
まず、GDPRで保護対象となる「個人データ」とは一体なんのことを指すのでしょうか。その定義から確認していきます。
GDPRでは、以下のように個人データを定義しています。
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照するこ とによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示 す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
つまり、特定の個人と識別できる可能性がある情報(複数の要素を参照することで識別できる情報も含む)は、全て個人データと解釈できます。個人データには、主に以下のものが該当します。
- 個人の氏名(顧客名簿・従業員の名簿・株主名簿など)
- 識別番号(旅券番号・運転免許証・指紋認識データ・顔認証データ・住所・電話番号・メールアドレス・クレジットカード情報など)
- 位置データ(GPSデータ・基地局データなど)
- オンライン識別子(IPアドレス・Cookieデータなど)
「IPアドレス」や「Cookie」も個人データに含まれる
個人データに該当する範囲は、基本的に日本国内の法律である「個人情報保護法」の定義と同じと解釈して問題ありませんが、一点だけ気を付けるべき項目があります。
それは、IPアドレスやCookieデータといった「オンライン識別子」の取得や処理に関しても、規制対象に含まれることです。特にCookieデータは、Web広告(ターゲティング広告)やECサイト・DMP等で利用される情報ですが、GDPRでは「個人データ」に該当します。
2019年には、スペイン・バルセロナを拠点とする格安航空会社「ブエリング航空(Vueling Airlines)」が、同社のWebサイトを利用するユーザーに対して、クッキーの利用に関する同意・拒否のを選択できる機能を実装していなかったことや、クッキーポリシーに正確な利用目的を記載していなかったとして、スペインデータ保護局より3万ユーロ(約420万円)の制裁金を科される事例も発生しています。
参考:日経クロステック(xTECH)「EU各国が監視強化、「海外クッキー規制対応」は日本企業も他人事ではない」
今や、Webマーケティングを展開するほぼ全ての企業がCookie情報と何らかの関わりを持っている現在において、「オンライン識別子」がGDPRの規制対象であることを、しっかりと頭に入れておく必要があります。
なお、オンライン識別子を含む個人データは、データ主体(個人・ユーザー)が取得や利用の目的に明確に同意した場合には、規制の対象にはなりません。
Apple|Safariでは、サードパーティcookieを全面廃止
先行して対策を始めたのが、Appleです。Appleはプライバシー保護に関して強い姿勢を示しており、公式ホームページには以下のように明記されています。
プライバシーは、基本的人権です。そして、Appleの中心にある大切な理念の一つです。なたのデバイスは、毎日様々な場面で重要な役割を果たしていますが、どの体験を誰と共有するかは自分自身で決めるべきこと。私たちは、あなたのプライバシーを守り、自分の情報を自分でコントロールできるようにApple製品を設計しています。
※引用:プライバシー – Apple(日本)
Appleの標準ブラウザである「Safari」では、ドメインを横断するトラッキングを防止する機能である「ITP(Intelligent Tracking Prevention)」を搭載。2017年から徐々に規制を強めていましたが、2020年3月のアップデートによりサードパーティcookieをデフォルトで全面的にブロックしました。
また、コンバージョントラッキングを始めとする広告の効果計測のために、cookieの代わりに用いられていた「ローカルストレージ」に関しても、即時削除されるようになりました。(※一定の条件を満たした場合には、7日まで保持できる。)
cookies for cross-site resources are now blocked by default across the board. This is a significant improvement for privacy since it removes any sense of exceptions or “a little bit of cross-site tracking is allowed.”
※引用:Full Third-Party cookie Blocking and More | WebKit
Google|2022年を目処にサードパーティcookieを段階的に廃止
Googleでは、ブラウザ「Google Chrome」において、2022年までに段階的にサードパーティcookieを廃止することを公表しています。
その一方で、サードパーティcookieに頼らずに広告トラッキングができるWebエコシステム「プライバシーサンドボックス」の構築にも言及。サードパーティcookieの廃止に加えて、個人データの使用方法に関して透明性を高めることや、選択肢を持たせることに取り組んでいます。
After initial dialogue with the web community, we are confident that with continued iteration and feedback, privacy-preserving and open-standard mechanisms like the Privacy Sandbox can sustain a healthy, ad-supported web in a way that will render third-party cookies obsolete. Once these approaches have addressed the needs of users, publishers, and advertisers, and we have developed the tools to mitigate workarounds, we plan to phase out support for third-party cookies in Chrome. Our intention is to do this within two years.
※引用:Chromium Blog: Building a more private web: A path towards making third party cookies obsolete
サードパーティcookieへの規制に企業はどう対応すべきか
サードパーティcookieへの規制が強まる中、企業としてどのように対応すべきか悩まれる方も多いのではないでしょうか。実際のところ、一企業として規制強化の流れに抗うことは難しく、各ブラウザの対策に適応していくことが求められます。
その際に、頭に入れておきたいのが、cookie規制の流れをしっかりと理解することです。Apple・Googleともに、ユーザーの個人データに関して、「(データ使用の)透明性を高めること」「(データ使用に関して)ユーザーの選択肢があること・コントロールできること」を軸に対策を進めていきます。
そのため、サードパーティcookieの代替的な技術を用いることでトラッキングする方法に関しても、中長期的に規制される恐れがあります。規制の抜け道を探すのではなく、各媒体や計測ツールが推奨しているタグの設定を行うなど、企業はユーザーの個人データの扱いについて適時対応していく必要があるでしょう。
また、サードパーティcookieを用いた広告配信(リターゲティング広告)は、今後継続が難しくなります。現在リターゲティング広告を配信している企業は、運用を見直す必要があるでしょう。
Googleが2019年に行ったサードパーティcookieとメディア収益に関する調査によると、サードパーティcookieを用いない広告は、用いた広告と比較して52%の収益減に繋がることが明らかになっています。これはメディア側だけでなく、広告ビジネスを行うGoogleにも大きな影響を与えると言えます。Googleはサードパーティcookieを利用せずに、広告のターゲティング精度を担保することが予想されますが、現段階では不透明なため、機械学習を用いてターゲティングの精度を高めることや、純広告的な運用で成果を高めていくことが求められるでしょう。
もし今後、以下のような壁にぶつかったら、その道のプロに相談するという選択肢を検討してみませんか?
- 社内にデータ分析ができる専門の人材がおらず、話が前に進まない
- GA4などの解析ツールの設定がうまくいかない、活用方法に自信がない
- データ分析の基盤構築や分析結果の活用方法がわからず、行き詰まっている
困った時にいつでも相談できるよう、まずは実績や提供内容が分かる資料をご覧ください。
GDPRで規制される3つのこと
ここからは、具体的にGDPRで規制される事柄に関して、「個人データの処理」「個人データの移転」「基本的人権」の3つの視点から見ていきます。
1. 個人データの処理
個人データの処理とは、データの取得・記録・修正・使用といった一連の業務を指します。
自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
例えば、メールアドレスやCookie情報、クレジットカード情報の収集・連絡先や住所などを含む顧客リストの作成や変更などの行為が該当します。
個人データの処理に関して、規制のポイントとなるのは、以下の6点です。
- 企業は、個人データの処理に関して、データ主体(個人・ユーザー)の明確な同意を得なければいけない。
- 適法であり、公正であり、かつ透明性が保たれる形で、個人データを処理しなければいけない。
- 個人データの処理目的のために必要な期間が過ぎた場合は、データを破棄しなければならない。
- データ主体(個人・ユーザー)が同意している場合は、管理者(企業)が証明できるようにしなければならない。
- 個人データ侵害(ハッキング等の情報漏えい)が発生した場合は、72時間以内に所定の監督機関に通知を行わなければならない。
- 大量の個人データを取り扱う場合には、データ保護オフィサーを任命しなければならない。
最も重要なポイントが、「企業は、個人データの処理に関して、データ主体(個人・ユーザー)の明確な同意を得なければいけない」点です。
企業は、個人データ取得時に、管理者の連絡先・データオフィサーの連絡先(必要な場合のみ)・個人データの取得目的・データが保存される期間・同意を撤回できる権利などををユーザーにわかりやすく明示した上で、同意を得る必要があります。
2. 個人データの移転
EEA(欧州経済領域)域内で取得した個人データを、EEA域外の第三国に移転することは原則的に禁止されています。つまり、EEA域内でサービスを展開し、そこで取得した個人データをEEA域外で閲覧することや、広告に使用することはできません。
ただし、これには例外があります。
- EUから十分な保護措置が取られていると認定された国や地域への個人データ移転
- 十分な保護措置が行われている場合の個人データ移転(拘束的企業準則・標準契約条項の締結)
- 特例によるデータ移転
日本は欧州委員会(EU)から、十分なレベルの個人データの保護措置が取られている国家として正式認定を受けています(2019年1月23日)。そのため、拘束的企業準則や標準契約条項といった、データの「提供側」と「受領側」で個別の契約を締結しなくても、個人データの移転が可能になりました。
これは、日本国内の各企業がGDPRの規定を遵守すれば、EEA域内の個人データを日本でも扱えることになり、円滑なデータ移転ができることを意味します。
参考:ジェトロ「日EU間で個人データ保護水準に関する相互十分性を認定(日本、EU)」
3. 基本的人権の保護
GDPRの条文には、基本的人権を保護することが明記されています。
本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
基本的人権の保護に関して、留意すべきポイントとして以下のようなものがあります。
- データ主体は、自己の同意をいつでも撤回する権利を有する。
- 16歳未満の子どもの場合、親権上の責任がある者の同意が必要である。
- 個人データがデータ主体から直接的に取得された場合ではない時には、データ主体に対して適切な情報を提供しなければならない。
例えばGDPRでは、「情報社会サービスとの関係において子どもの同意に適用される要件」において、16歳未満の子どもの個人データの提供に関しては、保護者の同意が必要であると明記しています。しかし、世界的にサービスを提供しているゲーム会社の場合、データ主体(ユーザー)が16歳未満の可能性を100%は否定できません。
また、個人データがデータ主体から直接的に取得していない場合にも、注意が必要です。例えば、DMP(データマネジメントプラットフォーム)を活用し、セカンドパーティデータ・サードパーティデータ(※自社で取得したデータ以外のデータ)を利用している場合には、個人の同意が明確に得られていない可能性があります。
GDPRの日本企業への影響は?適用される4つのケース
EEA(欧州経済領域)でビジネスを展開している日本企業はもちろんのこと、それ以外の日本企業にもGDPRは適応されます。ここからは、どのようなケースでGDPRが適応されるのかを見ていきましょう。
枠組み | 対象国(2021年2月現在) |
---|---|
EU(28ヵ国) | オーストラリア/ベルギー/ブルガリア/クロアチア/キプロス/チェコ/デンマーク/エストニア/フィランド/フランス/ドイツ/ギリシャ/ハンガリー/アイルランド/イタリア/ラトビア/リトアニア/ルクセンブルク/マルタ/オランダ/ポーランド/ポルトガル/ルーマニア/スロバキア/スロベニア/スペイン/スウェーデン/イギリス(イングランド, スコットランド, ウェールズ, 北アイルランド) |
EEA(31ヵ国) | EU加盟28ヵ国/リヒテンシュタイン/アイスランド/ノルウェー |
以下の4つのケースの場合、GDPRの適用対象となります。
1. EEA域内に子会社や支店がある場合
EEA域内に、子会社や支店がある場合は、GDPRの規制対象となります。
本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
2. EEA域内のユーザーに対して商品やサービスを提供している場合
EEA域内に、子会社や支店を有していなくても、EEA域内のユーザーに対して商品やサービスを提供している場合は、GDPRの規制対象となります。
データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
3. EEA域内のユーザー行動を把握・分析する場合
EEA域内に子会社や支店がない、またEEA域内のユーザーに対して商品やサービスを提供していない場合でも、EEA域内のユーザー行動を把握・分析する場合には、GDPRの規制対象となります。
例えば、海外向けに英語のサイトを公開し、EEA域内のユーザーが訪問、氏名やクッキー情報など個人データを取得していた場合、GDPRが適用されます。
データ主体の行動がEU 域内で行われるものである限り、その行動の監視。
※引用:個人情報保護委員会「一般データ保護規則(GDPR)の条文」
4. EEA域内から個人データの処理について委託を受けている場合
EEA域内で個人データを直接的に取得していなくても、EEA域内で取得した個人データの処理を委託されている日本企業は、GDPRの規制対象となります。
もし今後、以下のような壁にぶつかったら、その道のプロに相談するという選択肢を検討してみませんか?
- 社内にデータ分析ができる専門の人材がおらず、話が前に進まない
- GA4などの解析ツールの設定がうまくいかない、活用方法に自信がない
- データ分析の基盤構築や分析結果の活用方法がわからず、行き詰まっている
困った時にいつでも相談できるよう、まずは実績や提供内容が分かる資料をご覧ください。
GDPRに違反した場合の罰則は?
GDPRに違反した場合は、監督機関が個別の企業に対して、制裁金を科すことができます。
- 1,000万ユーロ(約12億円)以下、もしくは直前の会計年度における世界全体における売上総額の2%以下、いづれか高額な方
- 2,000万ユーロ(約24億円)以下、もしくは直前の会計年度における世界全体における売上総額の4%以下、いづれか高額な方
仮に、世界全体の売上総額が1,000億円の場合、20億円もしくは40億円と非常に高額な制裁金が科されます。(1ユーロ、120円で算出)
ただし、違反の重大性や故意性・持続期間・被害を被ったデータ主体の人数によって、制裁金が科されるかどうか、また制裁金の額が個別に判断されます。上記の2つの制裁金がそのまま科される訳でないことに留意しましょう。
実際に、ドイツ企業である「”knuddels.de“」が、ユーザーのパスワードを暗号化していなかったことにより、約33万人の個人データが流出した事案について、ドイツ・バーデン=ヴュルテンベルク州のデータ保護当局が2018年に同社に対して、制裁金を科しています。
しかし、「”knuddels.de”」が早急に監督局に通知を行ったことや、保護レベルを上げる対策を実施したことが考慮され、売上総額の2%よりも低い「2万ユーロ(約240万円)」の制裁に留まっています。
GDPRにどのように対応していけば良いのか
GDPRは、直接的にEEA域内に子会社や支店を構えている日本企業のみならず、商品やサービスをEEA域内のユーザーに展開している企業、またEEA域内のユーザーの個人データを取得している企業に適用されることがわかりました。これは、非常に多くの日本企業が該当すると言えるでしょう。
また、日本国内においても、2020年6月に個人情報保護法が改正し、Cookie情報に関する規制が強まっています。(※今回の改正では、Cookie情報を個人関連情報を定義し、第三者へ提供する場合には、本人への情報提供や同意が新たに義務付けられています。)
このように、個人データ並びに個人情報の取り扱いは、非常に厳しくなっているため、企業は早急に対策を講じることが求められます。
具体的には、以下のような点を確認し、GDPRの基準を満たしていない場合には、企業内のルールを変更する必要があります。
- GDPRの規制内容や適用される企業を把握しているか
- 個人データや個人情報の取得が行われているか
- 取得されているのであれば、どこの部署・部門で行われているか
- 大量の個人データを取得しているのであれば、データ保護オフィサーを任命しているか
- 第三者へのデータ提供を行っているか
- 第三者からのデータ提供を受けているか(DMP等のデータベンダー)
- オンライン識別子を取得している場合には、その利用目的やユーザーの同意を明確に得ているか
まとめ|GDPRの規制内容や適用対象を適切に理解し、早急に対策を進めよう
本記事では、GDPRの基本的な原則や、適用対象となる企業、そして制裁金などに関して解説をしました。
GDPRは認証マークのようなものが存在しないため、ある日突然、罰則の対象となる可能性があります。多額の制裁金が科される、取引の中止を求められるケースもあり、事業そのものをストップしないとならないといった可能性も出てきます。
企業の担当者は、まずはGDPRについて適切に理解し、対象の範囲なのであれば、早急に対策を進めるようにしましょう。対策においては、EEA域内の子会社や支店、セキュリティ部門、総務部門、人事部門など部署を横断した取り組みが必要です。セキュリティ対策チームを構築するなど、全社的に対策を進めていくことが求められるでしょう。
よくある質問とその回答
GDPRの日本企業への影響はありますか。
EEA(欧州経済領域)でビジネスを展開している日本企業はもちろんのこと、それ以外の日本企業にもGDPRは影響があり、適用対象です。
具体的には、以下の4つのケースが当てはまります。
1. EEA域内に子会社や支店がある場合
2. EEA域内のユーザーに対して商品やサービスを提供している場合
3. EEA域内のユーザー行動を把握・分析する場合
4. EEA域内から個人データの処理について委託を受けている場合
GDPRは、直接的にEEA域内に子会社や支店を構えている日本企業のみならず、商品やサービスをEEA域内のユーザーに展開している企業、またEEA域内のユーザーの個人データを取得している企業に適用されるため、非常に多くの日本企業に影響するでしょう。
詳しくは「GDPRの日本企業への影響は?適用される4つのケース」をご覧ください。
GDPRの対象となるデータは何ですか?
GDPRで保護対象となる「個人データ」とは、特定の個人と識別できる可能性がある情報のことで、主に以下のものが該当します。
- 個人の氏名(顧客名簿・従業員の名簿・株主名簿など)
- 識別番号(旅券番号・運転免許証・指紋認識データ・顔認証データ・住所・電話番号・メールアドレス・クレジットカード情報など)
- 位置データ(GPSデータ・基地局データなど)
- オンライン識別子(IPアドレス・Cookieデータなど)
詳しくは「GDPRで保護対象となる「個人データ」とは?」をご覧ください。
GDPRにどのように対応していけば良いですか?
GDPRはEUの法令のため、日本あるいは日系企業には直接的に関係のない話かと思われるかもしれませんが、Cookie情報の規制をはじめ個人データ並びに個人情報の取り扱いは世界中で非常に厳しくなっているため、企業は早急に対策を講じることが求められます。
詳しくは「GDPRにどのように対応していけば良いのか」をご覧ください。
自力でのデータ活用に限界を感じたら?
もし今後、以下のような壁にぶつかったら、その道のプロに相談するという選択肢を検討してみませんか?
- 社内にデータ分析ができる専門の人材がおらず、話が前に進まない
- GA4などの解析ツールの設定がうまくいかない、活用方法に自信がない
- データ分析の基盤構築や分析結果の活用方法がわからず、行き詰まっている
データ活用を強みとする、歴15年以上のプロフェッショナルが相談に乗ります。
困った時にいつでも相談できるよう、まずは実績や提供内容が分かる資料をご覧ください。
著者情報
PICK UP
-
半年間で「リード数10倍以上、受注率3倍増」と、爆速でBtoBベンダーのマーケ施策が成長したワケ
株式会社ブイキューブ
-
億超の広告運用を引き継いだ未経験者が、2ヶ月でROAS30%改善した裏側
株式会社Techouse
-
「0から年間数万件の法人リードを生み出す組織へ」ネオキャリアがインバウンド文化へ変化していく5年の歴史
株式会社ネオキャリア
-
なぜ、外部パートナーがインハウスの強いマーケティングチームに信頼されたのか?じげん『アルバイトEX』の事業成長の裏側
株式会社じげん
-
「約200の商材から何を狙うか」パーソルHDオウンドメディアが1年で流入3倍、CV5倍に伸長した理由
パーソルホールディングス株式会社