日本では大丈夫？GDPRの概要と対応方法を解説します

GDPRという言葉を耳にしたことはありますか？
最近話題になっていますが、意外とよくわかっていなかったりしませんか？
そんなあなたのために、GDPRを（わかりやすく）解説してみます！

GDPRとは？

GDPRの概要

GDPRは「General Data Protection Regulation」の略語で、2018年5月25日に欧州連合（EU）が施行した一般データ保護規則のことです。
企業による個人データの取得利用を規制する目的で、欧州会議で2016年に可決され、2年間の猶予期間をもって施行されました。

GDPRの対象となる個人データ

GDPRでは個人データは「識別された、または識別され得る自然人に関するすべての情報」と定義されています。
下記が具体的な定義されている個人データになります。

●氏名
●識別番号
●住所
●メールアドレス
●オンライン識別子（IPアドレス、クッキー）
●クレジットカード情報
●パスポート情報
●身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

GDPRの「処理」と「移転」について

GDPRでは主に個人データの「処理」と「移転」に関して規定が定められています。

処理（Processing）

「処理とは、自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業または一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものにすること、整列または結合、制限、消去または破壊することをいう。」（GDPR　第4条（2））

上記のように定義されています。
イメージはデータの管理や編集といった「何らかの個人データに関する処理」で大丈夫だと思います。（後述の移転は除く）
また、データ主体（消費者など）への連絡等もしっかりする必要があります。
データ主体の承認なしに「処理」を行うことも違反行為にあたるので注意が必要です。

移転（Transfer）

現状定義はありません。
GDPRの対象になる「EEA（欧州経済領域）圏内の個人データを第三国や国際機関に対し閲覧可能にする行為」が該当します。
また、EEA外に個人データを移転することは、移転先の国・地域が十分に個人データ保護を講じている場合においてのみ認められています。（GDPR　第45条）
認められていない国は、個人データの移転は違反になるということです。

なぜGDPRはできたのか？

そもそも、なぜGDPRのような規則ができたのか。
その意図は「欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のために、データ保護を強化し統合すること」にあります。
上記意図を満たすために、欧州連合域外への個人情報の輸出も対象としています。

市民と居住者が自分の個人データをコントロールする権利を取り戻すこと。
そして、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることを目的としています。

EUに加盟している国々によって異なる法律があると、EU全域における多国籍企業の活動が不便です。そこでEU加盟国に対して、すぐに適用できるようなEUのルールや規則を定めようという流れが強まり、GDPRが生まれたのです。

罰則（制裁金）について

GDPRが有名になった一つの理由として、制裁金が挙げられます。
違反の度合いによって制裁金の額が異なります。

軽微な違反：1000万ユーロ、または前年売上高の2％
権利侵害などの違反：2000万ユーロ、または前年売上高の4％

上記のうち、どちらか金額が大きい方が対象となります。
現在のレートにして、約12億円から24億円という非常に重い罰則内容であるため、多くのWeb担当者は、個人情報に関するデータマネジメントの重要性を強く感じているのではないでしょうか。

「軽微な違反」と「権利侵害などの違反」はそれぞれ一例ではありますが以下のような項目が該当します。

軽微な違反

一般データ保護規則の条文内の、第83条5項のカテゴリーが該当します。

・消費者などのデータ主体に通知を怠った場合
・監督機関との協力義務を怠った場合
・GDPR要件を満たすために、技術的・組織的な対策をしなかった場合

権利侵害などの違反

一般データ保護規則の条文内の、第83条4項のカテゴリーが該当します。

・個人データ処理の原則を順守しなかった場合
・データ主体の同意の条件を遵守しなかった場合
・データ移転先の十分性認定など、移転に関する一般原則を守らなかった場合

日本への影響について

GDPRはEUで定められた規則ですが、日本を拠点とした企業であっても対象となるケースがあります。

●EU加盟国に子会社や支店、営業所などを有している企業
所在地がEU域内にある場合は、日本に本社を有している企業であっても直接の適用対象となります。

●日本からEU国に商品やサービスを提供している企業
EU域内の消費者に対して、日本から商品やサービスを提供している場合、EU域内に所在地がなくても個人データの取得や処理にあたり、GDPRに沿った手続きが必要です。

●EU加盟国から個人データの処理について委託を受けている企業
データセンター事業者やCloudベンダーなどのように、EU域内の企業から個人データの処理などを受託している日本企業の場合、処理者として個人データの域外移転に関して、GDPRが定めるルールに準拠する必要があります。

GDPRの適用条件

GDPRの適用条件

GDPRの適応条件は以下となっています。

●GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される
●GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、
　以下のいずれかの場合には適用される
　-EEAのデータ主体に対し商品又はサービスを提供する場合
　-EEAのデータ主体の行動を監視する場合
*EEA：European Economic Area（欧州経済領域）

EU圏内にいるユーザーのWeb上の行動データを取得している場合はGDPRの範囲に含まれます。
例えば、英語サイトを運営していて、そこでCookieなどを取得していた場合、上記のような個人情報処理を行わなければ罰則の対象となってしまいます。

要注意なGDPRの適用条件

Webサイトを通じて、以下のような情報の取り扱いや処理を行う場合には、GDPRに準拠しなければなりません。

●短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
●日本企業からEEA内に出向した従業員の情報（日本からEEA内に移転した情報）
●日本からEEA内に個人データを送付する場合
●日本からEEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

※引用：EU一般データ保護規則(GDPR)の概要(前編)

このように、出張や旅行で短期間EU圏内に滞在した日本人のCookieなどもGDPRの範囲に含まれてしまうので注意が必要です。

GDPRの対応方法（いつ・誰が・どのように？）

いつ・誰が・どんな対応をすればいいの？

いつ？

GDPRは2018年の5月に施行済みです！
該当する企業の方は今すぐ対応しましょう！

誰が？

基本的にはWeb担当者がメインで対応します。
裏側での保護方法やプライバシーポリシーの公開などが関係しますので、エンジニアの方や法務との連携が重要になります。

どう対応する？

●現状を理解する
まずはどのように個人データを取り扱っているか、現状を理解しましょう。
どんなデータが存在し、誰がアクセス可能で、どのようにやり取りが行われ、保管されているか。
正確に把握する必要があります。

●データ保護方針を決める
個人データの処理や移転方法について決めます。
あくまで一例ですが、下記のような項目になります。

・データの保管方法/保存場所
・データを収集する目的
・クッキー（Cookie）の処理について
・個人データ処理の方的な根拠

●組織体制を整える
現状を把握できたら責任者を決め、社内体制を整えます。
義務という訳ではありませんが、関連業務の効率化のために専任の担当を置くことを推奨します。

●提供中のサービスやシステムを改善する
現状把握に基づき、提供中のサービスやシステムにおける個人データの課題を把握し、改善します。
例えば改善前のフローにおいて、消費者などのデータ主体の許可を得ずに住所や氏名、クッキーなどのデータを取得していたとします。
その場合はフローの中でユーザーに使用許可を求めるよう、フローの改善が必要になります。

●社内に浸透させる
体制を整えるだけでは意味がなく、社内教育を行い、浸透させる必要があります。
GDPRは社員全員が理解していないと、自覚なく違反してしまう可能性があります。
方針構築と同様に、浸透も重要な要素です。

●インシデントフローを構築する
GDPRでは、個人データへの侵害が確認された場合、関係当局へ72時間以内に報告することが義務付けられています。
72時間以内の報告が難しい場合は、遅延理由を添えた報告が必要です。
違反した際は高額な制裁金が発生する可能性があります。
インシデントが発生した際のフローは常に見直し、改善する必要があります。

実際に問題になったGDPRの事例

Googleへの適用事例

実際にGDPRを適用した事例として、2019年1月21日には、Googleに対してGDPR違反として、5000万ユーロ（約62億円）の罰金支払いを命じました。
Googleのサービスを利用するための手続きは、透明性と情報の義務に違反しており、広告のパーソナライズ処理に法的根拠を持たせる義務にも違反していると結論付けています。

Googleは個人データの利用についてWebサイト上で説明していますが、その説明を読むために複数回のクリックが必要だったことが、透明性と情報の義務に違反している、とのことです。

広告のパーソナライズ処理については、「ユーザーは自分が何に同意することになるのか」の説明が具体的でも明確でもなく、「ユーザーは自分が何に同意することになるのか」を十分に知らされないと指摘しています。

BA・IAGへの適用事例

同年7月8日、英航空大手ブリティッシュ・エアウェイズ（BA）と親会社インターナショナル・エアラインズ・グループ（IAG）に対して1億8339万ポンド（約250億円）の制裁金を課したと発表しました。2018年9月の大規模な顧客情報流出がGDPRを侵害しているとの理由です。
BAは制裁金と裁定に対して不服を申し立てるとのことですが、現時点（2019年7月）において最高額の制裁金となっています。

日本国内の企業には未だ制裁金が課された事例はありませんが、指摘されないためにも各企業のWeb担当者にはGDPRに対する正しい理解と適切な対応が求められます。

まとめ

アメリカでも、規模は違いますがGDPRに似た内容の「CONSENT法案」が提出されたように、世界中でオンライン識別子まで個人情報として取り扱う意識に変わってきました。

GDPRと向き合うには、欧州にビジネスを展開しているか、自社のビジネスがGDPRの規制対象となるか、GDPRで定められた各種要件に照らして判断することが大切です。

GDPRの解釈は幅が広いため、どの様に対応を進めれば良いか難しいですが、他の個人情報の取り扱いと同じように、しっかりとした準備と、対応方針、そして正しい情報の運用と管理が求められます。

現状、まだ日本で制裁金の適用がないからといって放置せず、まずは自社の現状を見直し、GDPR適用のリスクを明らかにするところから始めなければなりません。
今後もGDPRの動向とそれに関する取り組みについて注目していきましょう。