ブログを9年間運用してきた経験から実践的なアドバイスを得意とし、コンテンツ発信を活用して企業の価値を高めるサポートをしています。
400件を超える中小企業のホームページ制作に関わり、SEO、コンテンツマーケティング、ライティングの知識を使ったコンテンツ制作で利益につなげる制作ディレクションと利益獲得のアドバイスをしてきました。
ウェブの情報発信力を存分に活用する考え方を基礎からお伝えし、運用能力を身につけていただくお手伝いをしています。
詳しいプロフィールはこちらから
ヤマ編集長のXはこちら
2018年5月25日、GDPR(EU一般データ保護規則)が施行されました。
「欧州版個人情報保護法」とも呼ばれるこの法律は、EU加盟国を含むEEA(欧州経済領域)計31か国のものですが、日本の企業にとっても他人事では済まされないものとなっています。
しかし、GDPRについて、何のことだかさっぱりわからないという人が多いのではないでしょうか。
そこで今回は、
などについて、わかりやすく解説していこうと思います。
プライバシーポリシーの書き方について次回の記事でわかりやすい解説をしています。
併せてご覧ください。
プライバシーポリシーの書き方について解説
もくじ
まずは、GDPRについて簡単に説明していきましょう。
GDPRは“General Data Protection Regulation”略称で、日本語では「一般データ保護規則」と呼ばれています。言い換えれば
“ヨーロッパ版の個人情報保護に関する法律”
といえるものです。
EU加盟国を含むEEA(欧州経済領域:European Economic Area)計31ヶ国、つまり、ほぼヨーロッパ全域の法律となっており、EUが主体となって、主に個人データの「処理」、「移転」について定めています。
GDPRによって保護されるデータは「個人データ」と「センシティブデータ」の2種類があります。
「個人データ」とは、個人を特定することができるあらゆるデータのことです。名前や住所はもちろん、メールアドレスや、WEB上のサービスを利用するときに取得するIDやユーザー名なども「個人データ」
に含まれています。
もうひとつの「センシティブデータ」とは、慎重に扱われるべきデータで、OECD(経済協力開発機構)のガイドラインによると、
“情報が漏洩することによって、社会的差別を受けうる情報”
と規定されており、人種や宗教、性的思考、政治的信条、犯罪歴などがセンシティブデータにあたります。
GDPRでは「個人データ」以上に「センシティブデータ」について重視しています。
GDPRによって可能になる権利について解説していきましょう。
EU・EEA内の個人は、企業に提供する自らの個人データに対して
などの権利が保障されるようになります。
では、どのような場合にGDPRの適用対象になるのでしょうか。注意すべき点は2つあります。
ひとつは、対象となる人の範囲が広いということです。
先述した「EU・EEA内の個人」とは、人種や国籍、市民権については無関係とされています。そのため、
“欧州に住んでいる、または一時的に駐在している日本人も権利が保護される対象になる”
ということになります。
もうひとつは、保護されるデータの範囲が広いということです。
先述した「個人データ」には、ユーザーのデバイスのIPアドレスや、ユーザーがホームページに訪問した時にCookie(クッキー)に保存された情報も含まれます。(簡単に言うと、IPアドレスとはインターネット上の住所のようなもの。Cookieとはサーバーから送られてくる会員証のようなものです。)
これらのことを踏まえると、
“欧州から人種を問わずにアクセスされ、名前やメールアドレスなどの個人データを入力するようなホームページを運営している場合は、GDPR適用の対象になる可能性がある”
ということになります。
あなたが運営するホームページが、GDPRの対象になるかどうかは、どのように判断すればいいのでしょうか。
GDPRの前文には「1つ以上のEU加盟国の所在するデータ主体(つまり個人のこと)対し、サービス提供をする意思があることが明白な場合にはGDPRが適用される」と書かれています。
つまり、EU連合(実際にはEEA)の個人に対してサービスを提供するホームページを運営している場合は、対象になると考えた方がいいでしょう。
(例)
このようなホームページを運営している場合は、GDPRの対象になると考えましょう。
あなたが運営するホームページが、GDPRの対象になる可能性がある場合、どのような対応が必要なのでしょうか。
正直なところ、個人データの保護については、ここまでやれば問題なしという基準が明確ではないので、対応する方としても頭を悩ませてしまうかもしれません。
そのため、最低限これだけはやっておいた方がいいだろうという、対応方法が、
“プライバシーポリシーを用意する”
というものになります。
プライバシーポリシーとは、ホームページの訪問者の個人情報について、その収集や活用方法、管理、保護などに関する取扱いについて、方針を明文化したものを指します。
個人情報を取り扱うホームページについては、プライバシーポリシーの制定とホームページへの記載が必須です。また、すでにプライバシーポリシーを明記している場合でも、GDPR施行に対応するために、内容を見直すことも必要になってきます。
具体的には、「個人データについて何のために収集し、何に活用するのか、またどのように管理するのか」などをできるだけ詳しく書くようにしましょう。
また、GDPRの規定されている権利を行使したいユーザーに対して、問い合わせ先を明記することも有効です。このような窓口を記載するだけでGDPRに対応している企業もあるようです。
『EU(EEA)加盟国各国に居住しGDPRの適用対象である方が、GDPR上の権利を行使する際は○○○迄お問い合わせください。また、適切に処理がなされなかった場合は、監督当局に対して不服を申し立てることができます。』
例えば、このように記載しておけば、ある程度は対応できると思います。
GDPRの内容や対応方法について解説してきました。簡単にまとめると、
◇ GDPRとは、ヨーロッパ版の個人情報保護に関する法律である。
◇ “欧州に住んでいる、または一時的に駐在している日本人も権利が保護される対象になる。
◇ EU連合の個人に対してサービスを提供するホームページを運営している場合は、対象になると考えた方がいい。
◇ 対策としてはプライバシーポリシーを用意する、もしくは見直す。さらにGDPRの規定されている権利を行使したいユーザーに対して、問い合わせ先を明記する。
ということになります。ご自身のホームページについても規制の対象となるのか判断して、必要とあらば、対応するよう心がけましょう。
次回は、プライバシーポリシーの書き方についてご説明します。
プライバシーポリシーの書き方について解説
ここ数年間でホームページを運営している人へのセキュリティ意識が高まっています。
SSL対応もその一つです。
ホームページのお問い合わせフォームをSSL対応にするべき理由