はじめに
本記事にアクセスいただき、ありがとうございます!
みなさまお休みはどのように過ごされましたか?
筆者は旅行が好きなので、コロナ前は国内外いろんなところに行っていました。
ここ数年はステイホームですが、
状況が変わればまたワクワクの旅に出たいですね。
ということで、今回は海外へ思いを馳せてみたくなり、
EUの個人情報保護に関する規則についてご紹介します!
他人事ではいられない「GDPR」について
2018年5月にEUで施行された個人情報保護に関する規則「GDPR」、
「EUの規則だから日本企業には関係無い」と言ってはいられません。
いまやサービスは、グローバルに展開することが多くなってきています。
そのため、外資系企業・海外向けサービスを扱う企業さんは知っておく必要があります。
こんな内容をご紹介します
GDPRとは具体的にどういった規則なのか、日本企業にどういった影響、どのような対応をしなければいけないのかをご紹介していければと思います。
GDPRは個人情報保護のための規則
正式名称は?
日本語では「一般データ保護規則」と言われています。
対象エリアは?
EEA領内に所在する全個人のデータがGDPRの保護対象となります。
他国の個人情報保護の規則に比べて内容が非常に厳格で、
罰則も厳しいということで有名です。
GDPRで定義されている個人データとは
一口に個人データと言っても多岐に渡りますが、GDPRでは
「個人を特定・識別できうるデータ」は全て個人データとして定義されています。
具体的には?
- 氏名
- 住所
- メールアドレス
- 識別番号(日本のマイナンバーに当たるもの)
- 位置情報
- クレジットカード情報
- パスポート情報
- オンライン識別子(IPアドレスやCookie)
などがGDPRで定義される個人データとなります。
氏名や住所、メールアドレス、識別番号、クレジットカード情報、パスポート情報などは
日本でも高度な個人データとして認識されているので問題ないです。
個人を特定できない情報も規制対象
問題は「オンライン識別子」で、日本ではIPアドレスやCookieといった
オンライン識別子は単体だと個人データと認識されていません。
ただIPアドレスやCookieと他のデータを組み合わせることで個人が特定できる
可能性があるため、改正個人情報保護法ではオンライン識別子も規制対象です。
個人が特定できる他のデータを持ち合わせていなくても
厳重に取り扱わないといけません。
EUの規則が日本企業に影響を及ぼすのはなぜ?
EEA領内に顧客がいる場合は全て対象になる
EEA領内に所在する全個人のデータが保護対象となっているからです。
たとえば?
商売をしている場合です。
EEA領内に支店や支社があってGDPRを知らないことは無いでしょうから、
このケースは既にしっかり対応しているのではないでしょうか。
EEA領内外でも要注意
データ処理や管理の業務を請け負っている場合もGDPRの影響を受けます。
いくら日本国内でしか作業を行っていなくても、
取り扱うデータがGDPRの保護対象である以上はGDPRへの対応が必要です。
日本で海外向けに展開している場合
サービスや商品を提供している場合です。
オンラインショップを開設していて、
顧客にEEA領内に所在する人が居るならGDPRに対応していなければいけません。
顧客にEEA領内に所在する人が居なくても、EEA領内でショップページが
閲覧できる以上はGDPRに対応しておく必要があります。
日本企業が取るべきGDPRへの対応
まずは所有個人データの把握
GDPRに日本企業が取るべき対応としては、
まず自社が所有している個人データを全て把握してしっかりと管理することです。
どのような個人データを所有していて、それをどのような目的でどのようなことに
利用していて、どのように保管しているのかを把握しましょう。
利用期間やアクセス権の確認
不要になったり利用期間が過ぎたりしているデータを消去しているか、所有している
個人データに社内の誰がアクセスできるのかも確認しておくと良いですよ。
情報漏洩時の方針設定
所有する個人データの全体が把握できたら、不正アクセスなどによって万が一
情報漏えいが発生した場合の対応についても方針を決めておく必要があります。
セキュリティ強化
不正アクセスやサイバー攻撃を受けないようにセキュリティを強化すること、
不正アクセスなどを受けても早急に感知できるようにしておくことも重要です。
個人データの暗号化
万が一情報漏えいが発生しても被害を最小限に抑えられるよう、
所有している個人データは全て暗号化しておかないといけません。
プライバシーポリシーの改訂
プライバシーポリシーをGDPRに対応した内容に改訂する必要もありますし、
ホームページはCookie使用に対する同意を得られるようにしておきましょう。
ユーザーからCookie同意をもらう
ホームページにアクセスした時にポップアップなどでCookieを使用することを伝え、
Cookieを使用することに同意してもらえるようにしておく必要もあります。
いったん同意しても後から拒否できる仕組みなども用意しておくと
よりユーザーに寄り添った対応と言えます。
まとめ
GDPRはEUの個人情報保護に関する規則ですが、
グローバル化している現在では日本企業にも無関係ではありません。
違反した場合の罰則とは?
軽微な違反でも最低1000万ユーロ(約12億円)の制裁金が課される厳しい規則で、
実際に日本円にして200億円を超える制裁金を課された企業もあります。
2018年5月にすでに施行されている規則ですから、
まだ対応していないのであればすぐにでも対応するようにしてください。
ぜひお近くのWebサイト制作のプロに相談してみてくださいね。
新着記事
Web制作に必須な施策とは?
違反した場合の罰則とは?
Googleアナリティクスの歴史を紹介
当社の実績はこちら
ここまでお読みいただき、誠にありがとうございました!
今後も多摩地域・立川にあるホームページ制作会社として地域の皆様、 ホームページに関わる皆様に向けてお役に立てる有益な情報発信ができるよう努めて参ります。