GDPRにはどう対応すればいい?日本への影響と日本企業の対処法を解説
2016年4月14日、欧州議会本会議でGDPRが可決され、2018年5月25日にGDRPが施行されました。
GDPRとは、General Data Protction Regulationの略称で、日本語で「EU一般データ保護規則」と訳されます。
GDPRとは簡単にいうと、日本の個人情報保護法の欧州版です。
GDPRが施行されたことによって、日本を含め世界各国の企業が対応に追われています。
今回は、GDPRが日本企業にどのような影響があるのか、日本企業はどのような対応をしなければならないのかを解説します。
そもそもGDPRとは?
GDPRの対応を考える前に、そもそもGDPRの内容について知らなければ対策を打つことができません。GDPRの内容について重要な点を押さえておきましょう。
利用者の3つの権利
GDPRでは、主に3つの権利を保障しています。
1 知る権利:取得されたデータの利用方法をすべて開示しなければならない
2 許可する権利:同意しないと個人情報を取得してはいけない
3 忘れる権利:取得した個人情報を要求に応じて削除しなければならない
これらは全て、利用者を個人情報の観点から守るために作られています。
逆にいえば、企業側の個人情報の取り扱いを厳しくする最たる根拠となるものです。
利用者は自らの個人情報は何に使われているのかを知ることができます。企業側は利用者の許可なしに勝手に個人情報を取得してはいけません。そして、利用者が企業側に自らの個人情報を削除して欲しい依頼があった場合、企業側は削除しなければなりません。
個人情報の取扱いに関する6つの基本原則
GDPRでは「管理者」や「処理者」に対し、個人情報の取り扱いに関する6つの基本原則を定めています。
⒈ 適法性・公正性・透明性の原則
本人に対し、適法・公正・透明性のある態様で取り扱う。
⒉ 目的限定の原則
個人データは、明確で正当な特定の目的のために収集されるものとし、その目的以外の取り扱いをしてはならない。
⒊ データの最小化の原則
個人データの利用目的に対し、十分であり、関連性があり、必要のあるものに限定する。
⒋ 正確性の原則
個人データは正確であるとともに、必要な場合には最新の状態に維持されなければならない。また、不正確な個人データは遅滞なく消去又は訂正するために必要な全ての手段を講じる。
⒌ 記録保存期間の制限の原則
本人の識別方式は、個人データの利用目的のために必要な期間に限定して維持されなければならない。
⒍ 完全性及び機密性の原則
管理者及び処理者は、個人データの安全性や機密性を確保するために、無権限者や違法なアクセス、またはアクシデントによる喪失・破壊を防止する適切な措置を講じなければならない。
先ほどの3つ権利は、利用者視点だったのに対し、6つの原則は、企業側が意識しなければならない項目です。これら6つの原則に沿って個人情報を取り扱うことが求められます。
特に6つ目の完全性及び機密性の原則は、企業がセキュリティ対策を施さなければならないことを意味しています。クラッキングされて、個人情報を漏洩させてしまった場合、企業側は十分にセキュリティ対策を行なっていたのか責任が問われます。
GDPRの個人情報の例
GDRPの個人情報の例は次の通りです。
・氏名
・住所
・メールアドレス
・IDカード番号
・位置情報
・IPアドレス
・Cookie ID
・携帯電話の広告識別子
・病院や医師が保持するデータであり、個人を一意に識別する象徴となりうるもの
GDPR施行当時の日本の個人情報保護法では、IPアドレスやCookieは個人情報に含まれていないのに対し、GDPRではこれらも個人情報に含まれると定義しました。そして、日本でも2022年4月1日の改正個人情報保護法によって、IPアドレスやCookieも個人情報に含まれることになりました。
GDPRの対応が必要とされる日本企業
GDPRは、欧州で可決されたことだから日本は関係ないと思うかもしれませんが、日本企業も決して無視できない法律なのです。
しかし、全ての日本企業が関係するわけではありません。
GDPRに対応しなければならない日本企業とはどんな企業なのでしょうか。
GDPRの保護対象者
GDPRにおいて、個人情報が保護される対象者は次の通りです。
・EAA域内に所在する個人
・短期出張や短期旅行でEAAを訪れている外国人
・EAA域外からEAA域内の拠点へ出向している従業員
つまり、日本人でもEAA圏内を旅行しているのなら、GDPRにおける個人情報保護の対象になります。EAA圏内に位置する個人は皆、GDPRの保護対象となります。
GDPRの義務対象者
GDPRにおいて、個人情報の取扱いが義務付けられる対象者は次の通りです。
・管理者(Controller):データ処理の目的と手段を決定する事業体
・処理者(Processor):管理者の命令に従ってデータ処理のみを行う事業体
したがって、対応が必要な日本企業は次の通りです。
・EAAに子会社や支店、営業所を持つ企業
・日本からEAAに商品やサービスを提供している企業
・EAAから個人情報の処理について委託を受けている企業 等
ようするに、拠点が日本国内になる企業でも、EAA居住者の個人情報を取り扱うならば、GDPRの適用対象になり、対応が必要になります。
GDPRの対応をしなかったら?
2019年3月26日、一般社団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)が日本企業686社を対象にした「企業IT利活用同行調査2019」によると、GDPRに未対応の企業が3割を超えていることが明らかになりました。
GDPRに対応しなかった場合どうなるのでしょうか。
制裁金
GDRPに違反した場合、制裁金が発生します。
2022年11月10日、NTTデータスペインが顧客管理システムを提供する保険会社が顧客情報の漏洩を起こしたことにより、NTTデータはスペイン当局から6万4000ユーロ(約940万円)の制裁金を科されたことが明らかになりました。これは日本企業が制裁金の支払いを命じられた初の事案となりました。
制裁金の種類
制裁金は軽度な場合と、重度な場合の2種類に分かれます。
軽度な場合は、「1000万ユーロ(約12億円)以下の金額、または直前の会計年度における世界全体における売上総額の2%以下の金額、もしくは、いずれか高額の方の制裁金」が発生します。
軽度な場合の具体例は次の通りです。
・個人情報の漏洩などが発生した際に通知しなかった場合
・監督機関との協力義務を怠った場合
・GDPR要件を満たすために、技術的・組織的な対策をしなかった場合
重度な場合は、「2,000万ユーロ(約23億円)以下の金額、または直前の会計年度における世界全体における売上総額の4%以下の金額、もしくは、いずれか高額の方の制裁金」が発生します。
重度な場合の具体例は次の通りです。
・個人情報処理の原則を遵守しなかった場合
・データ主体の同意の条件を遵守しなかった場合
・データ移転先の十分性認定など、転移に関する一般原則を守らなかった場合
・個人情報を許可なくEEA外へ持ち出した場合
制裁金は、他の法律と比較しても非常に高く設定されており、違反した側の企業規模などは考慮されません。制裁金がこれほどまでに巨額な理由は、GAFAを意識して作られたからと言われています。中小企業には苦しくても、大企業にはすぐに払えてしまうような金額では制裁金にはなりません。なので、大企業でも制裁の効き目があるように高額に設定されています。
また、企業だけではなく、政府機関やNGOなどが違反した場合も制裁の対象となります。
制裁の事例
2019年にフランスのデータ保護当局は、Googleに対して5000万ユーロ(約62億円)の制裁金の支払いを命じました。Googleは個人情報の利用についてWebサイト上で説明していますが、その説明を読むために複数回クリックが必要だったことが、透明性がなく違反しているとのことです。
EU加盟国のデータ保護監督当局は2018年5月25日のGDPR導入から2020年1月12日までに、合計1.14億ユーロ(約140億円)の課徴金を科しています。
2023年2月25日現在、制裁金の史上最高額は2021年にルクセンブルクのデータ規制当局がAmazonに科した7億4600万ユーロ(約970億円)です。
GDPRへの具体的な対応方法
1 プライバシーポリシーの策定
GDPRでは個人情報を扱うことを禁止しているのではなく、適法化根拠なしに個人情報を処理することを問題としています。適法化根拠に則ったプライバシーポリシーを策定しましょう。
個人情報の保管方法や保存場所、データを収集する目的、Cookieの取扱いなど、明確なポリシーを定めておくことが大切です。
2 セキュリティ対策
取得した個人情報は、暗号化して適切な処理を行い、万全なセキュリティ対策を施しておかなければなりません。セキュリティ対策を怠ってしまうと義務違反になり、罰則が適用されます。
3 CMPを導入する
GDPRでは、Cookieなどのオンライン情報について特に強く取り締まっています。最近にWebページを開くとやたらCookieへの同意が散見されると思います。ユーザー視点だと煩わしくて仕方ありません。これはGDPRの影響です。Cookieは個人情報なので、利用する際にはユーザーの同意を得る必要があるのです。CMPと呼ばれるツールを導入するすれば簡単に対応が可能です。CMPを導入してCookie利用の同意を得るようにしましょう。
4 フロー管理
もし個人情報が漏洩した場合には、72時間以内に監督機関に対して報告しなければなりません。報告が遅れると制裁金も高額になります。社内の組織体制を整え「いつ・誰が・どのように」対応するのかを明確にします。また、体制を整えるだけではなく、社内教育を行い浸透させることで、いざという時にも迅速に行動できます。セキュリティに絶対はありませんから、もし漏洩した場合に備えて違反報告までのフローを管理しておきましょう。
GDPRに対応している日本企業の例
GDPRに対応している日本企業の例を3つ紹介します。
これらの企業は、GDPRに対応するため自社でポリシーを策定しています。
もしアナタがGDPRの対応に迫られているのなら、日本の大手企業の取り組みを参考にして、ポリシーを策定してみてはいかがでしょうか。非常に参考になると思います。
JAL
欧州からの乗客も多い航空会社「JAL」は、当然GDPRの対象企業です。
GDPRおよび「JALグループにおける情報セキュリティ・個人情報保護に関する基本方針」に従って個人情報を取り扱うことを公表しています。
内容は以下の通りです。
1 個人データの管理・保護
2 個人データの管理者およびデータ保護責任者
3 個人データの利用目的および法的な根拠
4 個人データの種別
5 個人データの提供の拒否
6 JALグループ航空会社の正当な利益
7 個人データの他社などへの開示・提供
8 個人データのEU域外の第三国への移転
9 個人データの管理について
10 開示などの請求方法およびお問い合わせ窓口
11 個人データに関する苦情など
12 お問い合わせについて
ユニクロ
ユニクロは欧州圏にも店舗を持つ世界的大企業です。ユニクロは、自社のプライバシーポリシーにおいて、GDPRへの対応を明記しています。
ユニクロの「プライバシーポリシー」の内容は以下の通りです。
1 当社の収集する個人情報のカテゴリーと収集の目的
2 個人情報にアクセスできる者
3 個人情報の保管
4 個人情報の保管期間
5 応募者の個人情報に対する権利
6 個人情報の利用目的の通知、個人情報の開示・訂正・利用停止・消去等のお問い合わせ先
7 個人情報の安全管理措置
8 セキュリティ
9 子供
10 虚偽メール
11 プライバシーポリシーの変更
12 言語、優先適応
13 連絡先
任天堂
「任天堂」は欧州においても非常に人気があります。欧州圏内の居住者の個人情報も取り扱っていますので、GDPRの対象となっています。
任天堂は、プライバシーノーティスを作成し、お客様の情報をどのように取得し、利用し、開示し、保存し、処理し、保護するか記載しています。
プライバシーノーティスにより、GDPRに対応していることを表明しております。
「プライバシーノーティス」の内容は以下のとおりです。
1 お客様の情報
2 クッキーとログファイル
3 情報の処理
4 情報の開示
5 GOOGLE ANALYTICS
6 GOOGLE RECAPTCHA
7 セキュリティ
8 プライバシーノーティスの更新
9 保管機関
10 適用データ保護法令におけるお客様の権利
11 お客様のプライバシに関するご質問、ご意見やご懸念点に関する連絡先
12 欧州の規制についての当社のデータ保護責任者
GDPRへの対応まとめ
GDPRが日本企業にどのような影響があるのか、日本企業はどのような対応をしなければならないのかについて解説しました。
日本でも改正個人情報保護法が施行されたように、GDPRによって、個人情報保護の重要性が今後ますます強くなっていくと思われます。
GDPRへの対応は、欧州の法規制であることや制裁金の高さなどから難しいものだと思われがちですが、常日頃から個人情報保護に取り組んできた企業にとっては当たり前の考え方に基づいていることに気づくことでしょう。
普段から利用者に対する個人情報保護の意識が高ければ、GDPRの制裁金に怯える必要はありません。逆に、制裁金さえ受けなければ良いと最低限の対策をするのみでは、今後法改正のたびに対応が必要になり、いちいち時間が割かれてしまうことでしょう。
個人情報の保護を利用者とのより良い環境づくりと捉え、普段から利用者の個人情報を丁重に扱っていれば、何も問題ありません。