GDPRとは何なのか?日本企業のとるべき対応を簡単にわかりやすく解説!

GDPRってなに?

インターネットの普及とともに、個人情報保護に対する対策が世界で議論されています。特に欧州は個人情報保護に対して積極的な姿勢を見せており、2018年5月に「EU(ヨーロッパ連合)」が「GDPR(General Data Protection Regulation)」を施行しました。

このGDPR、ヨーロッパで成立した規則だけに「日本企業は関係ない」と思っている方がいらっしゃるかもしれません。しかしヨーロッパ圏内の個人情報を扱う場合、その時点でGDPRが適用されてしまうので日本企業も注意が必要です。今回は初心者向けにGDPRとは何か、そして日本メディアへの影響、GDPRへの対策方法などをわかりやすくご紹介していきます。

1.GDPRとは?

GDPRとは、「EU一般データ保護規則」という意味になります。2016年4月採択された後調整を受け、2018年5月より適用されました。GDPRでは個人情報を特定できるあらゆるデータを規制対象とし、各企業に適切な対応を求めています。具体的には「EEU(EUを含む、ヨーロッパ地域の経済の枠組み)」領域内にいる方の個人情報を扱う際、

・個人情報を取得する際は、細かい注意点を明記した上でユーザーに許可を求める
・必要以上に個人情報を保持しない
・常に大量の個人情報を処理する企業では、「データ保護オフィサー」を任命する

などの順守が必要になってきます。

このGDPRの規制対象には、「IPアドレス」や「クッキー(Cookie)」などを利用して収集したデータも含まれています。従来IPアドレスやCookieといったトラッキング手法は一般的なものであり、多くの企業がリターゲティングなどに活用していました。IPアドレスやCookieだけでは直接的な個人の特定はできないので、一見規制の対象にはならないように思えます。

しかしIPアドレスやCookieなどの情報は他の情報と組み合わせることで、個人の細かい行動まで含めた特定につながってしまう危険性があります。実際日本でも「リクルート」が一部ユーザーから許可を受けずCookie情報と氏名などを突き合わせてサービスに利用していたのが明らかになり、サービスが中止になるまでの事態に追い込まれています。

こういった個人情報の細かな特定につながる危険性から、GDPRがインターネット上のトラッキング手法を規制対象に含んだのもうなずけます。

2.GDPRの日本メディアへの影響は?

GDPRはヨーロッパ地域内で適用される規則なので、一見日本企業は関係ないように思えます。ところがGDPRで対象になる企業は、

・EEA内に直接支店などの形態で営業拠点を持っている企業
・日本からEEA内に商品やサービスを提供している企業
・EEA内からデータ処理代行などを請け負っている企業

などとなっており、日本企業も対象になってきます。ヨーロッパ地域内に支社がある場合などは、当然GDPRの対象になるだろうと予測できると思います。またEEA内に関するデータを代行で請け負い処理している場合も、GDPRに気をつけないといけないのは何となくわかると思います。しかし特に注意しなければならないのは、2番目の「日本からEEA内に商品やサービスを提供している企業」に該当する場合です。

EEA内に商品やサービスを提供している企業というのは、対象が広いです。

たとえば越境ECサイトを運営している場合は当然EEA内のユーザーもターゲットユーザーになる可能性が高いですし、また単にWebサイトを運営してCookie情報などを取得している場合も、その中にEEA内のユーザーのデータがあれば対象になります。特にWebサイトなどのメディア運営でデータを取得している場合は、意図せずにEEA内のユーザーからデータを収集してしまっている可能性があります。また旅行や一時的な出向などでEEA圏内にいる方の個人情報も、GDPR規則の対象になります。

GDPRではEEA内のユーザー情報に対して適切な対応を行わなかった場合、最悪2,000万ユーロ(2019年12月時点で約24億円)などの極めて高額な罰金を支払わなければならない可能性があります。上記のような罰則は、データを適切に扱わなかったあらゆる企業が対象です。つまり中小規模の企業はGDPRで罰せられた場合、経営破綻にもつながってしまう危険性を秘めているのです。

折しも日本では、現在Cookieなどの規制を含めた対応を検討中です。将来的には日本に限らずさまざまな国でインターネット上のトラッキングが規制対象になる可能性があり、企業としてはGDPRに今の内にしっかり対応しておくことが、生き残りの秘けつになっていく可能性があります。

現に日本の大手画像投稿サービス「Pixiv」ではCookie使用に関して使い道の細かい提示や無効化手順の説明などをサイト内で行っていたりと、日本企業でもGDPRへの対応が進みつつあります。

3.とるべきGDPRの対策とは?

ここからは、今からでも取るべきGDPRへの対策方法をご紹介していきます。

自社データの流れを把握し、GDPRにかかわるデータがないか調べる

まずは海外支店も含めて自社全体のデータの流れを把握し、GDPRにかかわるデータがないかよく調べましょう。これにはインターネット上のWebメディアで取得したデータなど、あらゆるデータを含みます。その中に少しでもEEA圏内に関係するデータが見つかれば、すぐにでも対応を検討する必要が出てきます。「自社が規模が小さいし、EEA圏内はターゲットユーザーではないので関係ない」では済まされないので、よくチェックしましょう。

EEA内のユーザーがターゲットユーザーでない場合は、EEA内の情報をそもそも取得しない設定などにすることでGDPRに触れないように調整できます。

個人情報取り扱いへの対応を明確にし、ユーザーが提供の可否を決められる体制を作る

EEA内のユーザーをターゲットユーザーとしている、またはターゲットユーザーとして無視できない規模になっている場合などは、GDPRに合わせた対応を行いましょう。

具体的には

・CookieやIPアドレスといった情報を取得する際は、サイト内に使い道などを明示する
・トラッキングIDを無効化できる仕組みを整え、手順をわかりやすくユーザーに提示する
・外部企業からEEA内のユーザーデータを取得する場合は、その企業がGDPRに準拠した対応を取っているかよく確認する

などの対応が必要になってきます。

データのセキュリティ体制を強める

EEA内のデータを扱い際は、GDPRに関するデータの流出などに対するセキュリティ対策も必要になってくるでしょう。そもそもデータが流出しないように強いセキュリティシステムを構築する、また万が一データが流出してしまったときは速やかに報告を行い、対処して大きなトラブルにつながるのを防ぐなどの対策が必要になってきます。

さらに個人情報に対する扱いを社内で再確認するという意味でも、社内で研修などを行って個人情報取り扱いに適切に対応できる社員体制を整えておくのも重要です。他にもさまざまな対策が必要になってくるので気になる方はGDPR条項を直接確認したり、専門家に相談してみたりしましょう。

4.まとめ

今回はGDPRとは何か、そして日本メディアへの影響や実際の対応方法までを簡単にわかりやすくご紹介してきました。

GDPRの施行は、世界の個人情報に対する見直しの始まりにすぎません。日本やアメリカなどではすでにCookieなどトラッキングIDまで含めた個人情報の対応見直しを検討中であり、遠くない内にGDPRと同じような個人情報対策を求められてくる可能性があります。

GDPRを面倒な規則と捉えるのではなく個人情報見直しへのサインと捉えて適切な対処を行えば、企業の安定した発展にもつながるでしょう。