2018年5月25日、GDPR(EU一般データ保護規則)が施行されました。
「欧州版個人情報保護法」とも呼ばれるこの法律は、EU加盟国を含むEEA(欧州経済領域)計31か国のものですが、日本の企業にとっても他人事では済まされないものとなっています。
しかし、GDPRについて、何のことだかさっぱりわからないという人が多いのではないでしょうか。
そこで今回は、
- GDPRとは何か
- 適用対象となるのはどういう場合か
- 適用対象となる場合、どのような対策が必要になるのか
などについて、わかりやすく解説していこうと思います。
プライバシーポリシーの書き方について次回の記事でわかりやすい解説をしています。
併せてご覧ください。
プライバシーポリシーの書き方について解説
GDPRとは何か?
まずは、GDPRについて簡単に説明していきましょう。
GDPRは“General Data Protection Regulation”略称で、日本語では「一般データ保護規則」と呼ばれています。言い換えれば
“ヨーロッパ版の個人情報保護に関する法律”
といえるものです。
EU加盟国を含むEEA(欧州経済領域:European Economic Area)計31ヶ国、つまり、ほぼヨーロッパ全域の法律となっており、EUが主体となって、主に個人データの「処理」、「移転」について定めています。
GDPRによって保護されるデータとは?
GDPRによって保護されるデータは「個人データ」と「センシティブデータ」の2種類があります。
「個人データ」とは、個人を特定することができるあらゆるデータのことです。名前や住所はもちろん、メールアドレスや、WEB上のサービスを利用するときに取得するIDやユーザー名なども「個人データ」
に含まれています。
もうひとつの「センシティブデータ」とは、慎重に扱われるべきデータで、OECD(経済協力開発機構)のガイドラインによると、
“情報が漏洩することによって、社会的差別を受けうる情報”
と規定されており、人種や宗教、性的思考、政治的信条、犯罪歴などがセンシティブデータにあたります。
GDPRでは「個人データ」以上に「センシティブデータ」について重視しています。
GDPRによって可能となる権利はどんなことか?
GDPRによって可能になる権利について解説していきましょう。
EU・EEA内の個人は、企業に提供する自らの個人データに対して
- 個人データを取得されることを拒否する権利(データ取得についての同意)
- 個人データにアクセスする権利(内容確認、内容修正)
- 個人データを消去する権利(個人データの削除)
- 個人データを持ち運ぶ権利(別のサービスに個人データを移転)
- 個人データが侵害されていることを、迅速に知ることができる権利
などの権利が保障されるようになります。
どういった場合にGDPR適用対象となるのか
では、どのような場合にGDPRの適用対象になるのでしょうか。注意すべき点は2つあります。
ひとつは、対象となる人の範囲が広いということです。
先述した「EU・EEA内の個人」とは、人種や国籍、市民権については無関係とされています。そのため、
“欧州に住んでいる、または一時的に駐在している日本人も権利が保護される対象になる”
ということになります。
もうひとつは、保護されるデータの範囲が広いということです。
先述した「個人データ」には、ユーザーのデバイスのIPアドレスや、ユーザーがホームページに訪問した時にCookie(クッキー)に保存された情報も含まれます。(簡単に言うと、IPアドレスとはインターネット上の住所のようなもの。Cookieとはサーバーから送られてくる会員証のようなものです。)
これらのことを踏まえると、
“欧州から人種を問わずにアクセスされ、名前やメールアドレスなどの個人データを入力するようなホームページを運営している場合は、GDPR適用の対象になる可能性がある”
ということになります。
自分のホームページが対象となるかどうかの判断基準
あなたが運営するホームページが、GDPRの対象になるかどうかは、どのように判断すればいいのでしょうか。
GDPRの前文には「1つ以上のEU加盟国の所在するデータ主体(つまり個人のこと)対し、サービス提供をする意思があることが明白な場合にはGDPRが適用される」と書かれています。
つまり、EU連合(実際にはEEA)の個人に対してサービスを提供するホームページを運営している場合は、対象になると考えた方がいいでしょう。
(例)
- 宿泊施設で、欧州圏からの利用客がある場合(欧州に居住している方ならば日本人が日本語で利用していてもGDPR保護の対象となります)
- ECサイト(通販サイト)で欧州からの購入がある
- 欧州からの一時帰国の顧客を対象としているサービス
- 外国人を対象に英語版ページを用意している
- 欧州からのアクセスがあり、名前やメールアドレスを入力するフォームを設置している
このようなホームページを運営している場合は、GDPRの対象になると考えましょう。
対象の場合どんな対応が必要なのか
あなたが運営するホームページが、GDPRの対象になる可能性がある場合、どのような対応が必要なのでしょうか。
正直なところ、個人データの保護については、ここまでやれば問題なしという基準が明確ではないので、対応する方としても頭を悩ませてしまうかもしれません。
そのため、最低限これだけはやっておいた方がいいだろうという、対応方法が、
“プライバシーポリシーを用意する”
というものになります。
プライバシーポリシーを用意する、または見直す
プライバシーポリシーとは、ホームページの訪問者の個人情報について、その収集や活用方法、管理、保護などに関する取扱いについて、方針を明文化したものを指します。
個人情報を取り扱うホームページについては、プライバシーポリシーの制定とホームページへの記載が必須です。また、すでにプライバシーポリシーを明記している場合でも、GDPR施行に対応するために、内容を見直すことも必要になってきます。
具体的には、「個人データについて何のために収集し、何に活用するのか、またどのように管理するのか」などをできるだけ詳しく書くようにしましょう。
GDPRの権利を行使したい人に向けて問い合わせ先を明記する
また、GDPRの規定されている権利を行使したいユーザーに対して、問い合わせ先を明記することも有効です。このような窓口を記載するだけでGDPRに対応している企業もあるようです。
『EU(EEA)加盟国各国に居住しGDPRの適用対象である方が、GDPR上の権利を行使する際は○○○迄お問い合わせください。また、適切に処理がなされなかった場合は、監督当局に対して不服を申し立てることができます。』
例えば、このように記載しておけば、ある程度は対応できると思います。
最後に
GDPRの内容や対応方法について解説してきました。簡単にまとめると、
◇ GDPRとは、ヨーロッパ版の個人情報保護に関する法律である。
◇ “欧州に住んでいる、または一時的に駐在している日本人も権利が保護される対象になる。
◇ EU連合の個人に対してサービスを提供するホームページを運営している場合は、対象になると考えた方がいい。
◇ 対策としてはプライバシーポリシーを用意する、もしくは見直す。さらにGDPRの規定されている権利を行使したいユーザーに対して、問い合わせ先を明記する。
ということになります。ご自身のホームページについても規制の対象となるのか判断して、必要とあらば、対応するよう心がけましょう。
次回は、プライバシーポリシーの書き方についてご説明します。
プライバシーポリシーの書き方について解説
ここ数年間でホームページを運営している人へのセキュリティ意識が高まっています。
SSL対応もその一つです。
ホームページのお問い合わせフォームをSSL対応にするべき理由
