GDPR(一般データ保護規則)とは?日本で対応する方法について解説
※本記事は、2018年公開当時の情報を基にした記事です。
GDPR(一般データ保護規則/General Data Protection Regulations)とは、EU域内の個人情報保護を規定する法律で、2018年5月25日より適用されているものです。
ここでは、GDPRの概要や日本で対応する方法について解説します。
この記事のポイント
- GDPRはEUで適応されている個人情報保護を規定する法律
- 対象範囲はEEA(欧州経済領域)内に拠点を置くデータ管理者及び処理者、データの主体(個人)
- EEA圏内からのアクセスや利用のあるサイトはGDPRに対応すべき
\疑問や不明点はお気軽にご相談ください!/
目次
GDPRとは
GDPRとは「General Data Protection Regulation」(日本語訳:一般データ保護規則)の略で、EU域内の個人情報保護を規定する法律として、欧州議会および欧州理事会によって制定されました。
2016年4月27日に採択されて2年間の移行期間を経た後、2018年5月25日より適用されています。元々EUでは1995年に「EUデータ保護指令」が適用されていましたが、GDPRでEUの個人情報保護はより厳格なものになりました。
GDPRの対象となる個人情報
個人情報とは「個人を識別できる情報、または複数を組み合わせることで個人の識別ができる情報」です。その例として次の情報が挙げられます。
・氏名
・識別番号
・住所、所在地
・メールアドレス
・IPアドレス、クッキーなどオンライン上での識別子
・クレジットカードの情報
・パスポートの情報
・身体的、生理学的、遺伝子的、精神的、経済的、文化的など、社会的固有性に関する情報
GDPRでは第四条に「個人データ」についての記載があります。
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
参考:一般データ保護規則の条文
GDPRの対象範囲は「EEA(欧州経済領域)内に拠点を置くデータ管理者および処理者、データの主体(個人)」です。なお、EEA内に拠点がなくてもEU圏の個人にサービスを提供する場合はGDPRの対象範囲内となります。
GDPRが日本に与える影響
「EEA内に拠点がなくても、EU圏の個人にサービスを提供する場合はGDPRの対象範囲内となる」ため、EEA内在住のユーザーを対象にビジネスを行う日本の企業も、GDPRを遵守する必要があります。
まず該当するのは、EEAに子会社や支社を持っている企業です。支社・子会社を持っていなくても、欧州からの旅行者を顧客とする旅行会社・交通事業社・宿泊施設、欧州在住者が利用するECサイト運営者なども該当します。
GDPRは日本の個人情報保護法よりも高い保護レベルを求めているため、日本における個人情報保護の認識で運用するのはリスキーと言えます。欧州市場を相手にしている日本企業は、GDPRを基準としたプライバシーポリシーを策定・運用する必要があります。
日本がGDPRに対応する方法
まず、自社のサービスを欧州のユーザーが利用していないかを調査しましょう。Webサイトの場合、アクセス解析でEEA内からのアクセスがあれば、GDPRへの対応が必要です。GDPRに対応するためのタスクを洗い出し、スケジュールを策定します。
対応準備が整ったら、スケジュールに基づいて対応体制を構築します。責任者を置いて管理チームを設立し、個人情報の運用ルールを策定します。体制が整ったら、自社のプライバシーポリシーとして対外的に発表しましょう。
発表後、自社のルールおよびGDPRの規定に照らして適切な運用を行っていきます。定期的に運用実績を評価して、管理体制が適切かどうかを点検しましょう。たとえ情報漏洩などの事故が起きていなくても、GDPRに関するリサーチを継続して行い、より強固な管理体制にアップデートしていくことが重要です。
まとめ
GDPRは日本国外の法律のため一見無関係に思えますが、IT・グローバル時代において欧州ユーザーが自社サービスを利用することは珍しくありません。これからはGDPRを基準に保護管理体制を考えることが、個人情報のリスクマネジメントのスタンダードと言えるでしょう。
マーケティングでお悩みの方へ
関連記事