GDPRとは？Web担当者も法務も知っておくべき基本を解説

GDPRは、EU域内の個人データの保護や取り扱いについて定められた法令のことです。日本企業でもEU域内と関わりのある企業はGDPRに関係します。

GDPRは、EU域内を商圏にしている企業だけでなく、EU圏内からのアクセスが多いWebサイト（ECサイトなど）も適用範囲となるため、Web担当者なら基本的なことは押さえておいた方がいいでしょう。

ここでは、GDPRの基本的な事柄や対策について紹介します。

GDPR（EU一般データ保護規則）とは

GDPR（EU一般データ保護規則）は、2018年5月25日に施行された個人データの保護や取り扱いについて定められた法令のことです。

EU域内の各国に適用される法令ですが、日本企業でも適用範囲内になる場合があります。違反した場合の罰則は厳しく「知らなかった」ではすまないため、適用範囲内の企業はもちろんのこと、現時点で適用範囲外の企業や個人も大まかな内容を押さえておいた方がいいでしょう。

違反した場合は高額な制裁金が課される

GDPRに違反した場合は高額な制裁金が課されます。

例えば個人データの取り扱い規則に違反した場合は最大で、該当企業における全世界年間売上の4％または2,000万ユーロのいずれか高い方が制裁金として課される（第83条第5項）ことになるのです。

2,000万ユーロを日本円にすると約25億円です。「いずれか高い方」が制裁金として課されるとありますので、個人データの取り扱い規則に違反した場合は最低でも25億円程度が課されることになります。

日本企業でGDPRの対象になる企業とは

日本企業でGDPRの対象になる企業は3つあります。

• EUに子会社や支店、営業所などを有している企業
• 日本からEUに商品やサービスを提供している企業
• EUから個人データの処理について委託を受けている企業

EUで会社を営業しているか、EU向けに商品やサービスを提供しているか、EUの個人データの処理をしていると対象になるということです。

この3つの条件を見て自社は対象外と感じた人もいると思いますが、実はインバウンド向けのECサイトなども対象になるのです。

インバウンド向けのECサイトなども対象になる

ユーザーがEU域内におり、そのユーザーのWeb上の行動データを取得している場合もGDPRの対象になります。

この「EU域内にいるユーザー」の定義は、EUを居住地にしているユーザーだけを対象にするわけではありません。

短期出張などでEU圏内に滞在している日本などの、短期滞在者も「EU域内にいるユーザー」に含まれます。

つまり、EU域内に出張中の日本人のCookieなどもGDPRの個人情報になるということになります。

GDPRに定められる個人情報の処理とは

GDPRで定められている個人情報の処理として重要なポイントは、「個人情報を取得する場合はユーザーに同意を求めること」「取得した個人情報は、ユーザーの求めに応じて対処可能であること」「取得した個人情報を適切に管理する」の3つです。

個人情報を取得する場合、取得する企業や目的を明らかにした上でユーザーに同意を求める必要があります。具体的には企業の身元や連絡先、処理の目的、第三者提供の有無、保管期間などを明らかにします。

取得した個人情報に対してユーザーが求めたことに対処できるとは、以下のようなことに対応できる必要があります。

• ユーザーが個人データの削除を要求した場合に削除できること
• 個人データが侵害された場合ユーザーが迅速に知ることができること

また、取得した個人情報を適切に管理するために以下の条件を満たす必要があるのです。

• 監視、暗号化、匿名化などのセキュリティ要件を明確化すること
• 必要な期間以上の個人情報保持の禁止
• 大量の個人情報を扱う場合のデータ保護オフィサーの任命

日本では個人情報とみなされていなかったCookieも対象

GDPRで定義される個人情報の中には、日本では個人情報とみなされてこなかったCookieもあります。Cookieは、ブラウザに一時的に保存されるユーザーのWeb閲覧履歴などのことです。

なお、日本でも個人情報保護法が改正される関係でCRMの顧客情報などとひも付けて使われるCookieは個人情報になります。

Cookieについては、以下の記事でご紹介しているので、ぜひこちらも参考にしてみて下さい。

日本企業がすべき対応とは何か

日本企業もGDPRに準じた処理を行う必要があります。

考えられる対応としては、現在利用している個人情報は何を目的として収集しているのかを明確にし、不要な情報や過分に収集している情報があれば見直すといったことがあります。

個人情報収集ポリシーや個人情報を保管する際のルールがない場合は作成し、すでにある場合も専門家を交えてGDPRに対応できるように見直しましょう。ルールを作成してから長期間経過している場合は、俗人的な曖昧なルールになっていることが多いからです。

また、すでに保管しているユーザーの個人情報は、暗号化によって保守できるように手配します。

個人情報を収集・蓄積する際のルールを作成する

個人情報を収集・蓄積する際のルールの作成は、社内人材だけでなく専門家を交えた方がいいでしょう。

GDPRや個人情報保護法に詳しい専門家のアドバイスに従って作成した方が安心感が大きいです。

すでに持っている個人情報やこれから収集する個人情報に関することはもちろん、ユーザーに不利益があった場合のフローについても検討します。

設定したルールに基づいて運用する

ルールを設定した後は、ルールに基づいた運用ができるようにマニュアルを作成します。ツールが必要な場合は、予算を検討した上で導入しましょう。

これについても専門知識のある人の監修を受けた方が安心です。

Cookieポップアップのみの対応では安心できない

Cookieの利用について、Webサイトを訪問したユーザーに「Cookie利用の許可」を求めるポップアップを設置する企業が増えています。

しかし、GDPR対策としては、ポップアップで許可を得るだけでは不安が残ります。常に最新の情報をキャッチアップしておきましょう。

また、Cookieの代替手段については、以下の記事でご紹介しているので、ぜひこちらも参考にしてみて下さい。

2022年4月1日施行する個人情報保護法のポイント

2022年4月1日に改正個人情報保護法が施行されました。
2017年5月30日に施行された改正法で「3年ごとの法律見直し規定」が盛り込まれ、今回は3年ごとの見直し規定に基づく初めての法改正になります。
個人情報保護委員会は、見直しに当たっての「5つの視点」を示しています。

• 個人の権利利益の保護
  「個人の権利利益を保護」するために必要十分な措置を整備すること
• 技術革新の成果による保護と活用の強化
  技術革新の成果が、経済成長等と個人の権利利益の保護との両面に行き渡ること
• 国際的な制度調和・連携
  国際的な制度調和や連携に配意すること
• 越境データの流通増大に伴う新たなリスクへの対応
  海外事業者によるサービスの利用や、個人情報を扱うビジネスの国境を越えたサプライチェーンの複雑化などが進み、個人が直面するリスクも変化しており、これに対応すること
• ＡＩ・ビッグデータ時代への対応
  AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、事業者が本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくこと

改定後の個人情報保護法でなにが変わる？

これまでも個人情報の保護と利用のバランスに対する改正や情報通信技術の進展に対する改正などが行われましたが、2022年4月1日施行の改正法では何が変わったのでしょうか。
改正のポイントを6つにまとめました。

①個人情報の請求権拡大と権利保護の強化

現行法では、本人による利用停止や情報の消去の請求を行うには、個人情報保護法に違反する場合のみに限られていましたが、改正後は、個人の権利や利益が害される恐れがある場合にも請求権を行使できるようになりました。
また、個人情報の開示に関しても、現行法では書面による交付が原則でしたが、改正後はデジタルデータでの提供も含め開示方法を指定できるようになりました。

そして、オプトアウト規定（本人の同意なく第三者に個人情報を提供できる制度）が厳格化され、第三者に提供できる個人情報の範囲が限定されています。
これにより「不正に取得した個人データ」や「他の個人情報取扱事業者からオプトアウト提供された個人データ」がオプトアウトの対象外となるなど、オプトアウトの対象が変更されましたので変更点は確認しておきましょう。
参考：個人情報保護委員会「オプトアウト規定による第三者提供の届出」

②事業者が守るべき責務の追加

現行法では、個人情報の漏えいが発生した場合、委員会への報告義務はありませんでしたが、改正後は、委員会への報告と本人への報告が義務化されました。
また、個人情報の利用について、法令違反となる利用や不適切な方法で個人情報を利用することが禁止されました。

③特定分野を対象とする認定団体制度の追加

現行法でも個人情報取扱いに関する苦情の処理や、個人情報の適正な取扱いに関する情報の提供などを行う民間法人の団体を、個人情報保護委員会より「認定個人情報保護団体」と認定を受ける制度がありましたが、すべての事業分野において対象とする必要がありました。

改正後は、特定の事業分野を対象とする団体も認定できるようになったため、専門性のある分野においても個人情報の保護に対する取り組みの強化が期待できます。

④データの利活用促進

データの利活用を促進する観点からは、以下２点の改正が行われました。

• 「仮名加工情報」制度の新設と事業者の義務の緩和
• 提供先で個人データとなることが想定される際の確認義務

◆「仮名加工情報」制度の新設と事業者の義務の緩和
仮名加工情報とは、事業者が自社内で利用するために、他の情報と照合しないと個人を識別できないよう個人情報を加工する情報のことです。
現行法では、この仮名加工情報においても個人情報に該当してしまい、以下の対応が必要となりました。

• 利用目的を特定（個人情報保護法17条）
• 目的以外での利用禁止（個人情報保護法18条）
• 取得時の利用目的を本人に対して通知、公表（個人情報保護法21条）
• データ内容の正確性の確保（個人情報保護法22条）

しかし、仮名加工情報は個人情報の権利利益の侵害リスクが低いことから、改正後は「仮名加工情報」制度が新設され、仮名加工情報に対する事業者の義務が緩和されることとなりました。

◆提供先で個人データとなることが想定される際の確認義務
提供元の事業者が取得したデータにおいて、個人データに該当しないものの、第三者へ提供した際に、他の情報と照合することによって個人を特定できてしまう情報があります。
例えば、Cookie、IPアドレスなどの識別子情報や閲覧履歴、購入履歴などが該当します。
現行法では、上記に該当するデータに関しては、たとえ提供先で個人データとなることが想定される場合でも規制はありませんでしたが、改正後は、個人関連情報を第三者に提供する場合、提供元は本人の同意を得ていることを確認することが義務付けられました。

⑤法令違反に対するペナルティ強化

今回の改正法では、法令違反に対して以下2点の罰則が強化されました。

• 措置命令、報告義務違反におけるペナルティの重罰化
• 法人に対する罰金刑の引き上げ

◆措置命令、報告義務違反におけるペナルティの重罰化
今回の改正法により、措置命令、報告義務違反のペナルティに対して、法定刑が引き上げられました。
現行法では、個人情報保護委員会の措置命令に違反した場合、「6ヵ月以下の懲役または30万円以下の罰金」でしたが、改正後は「1年以下の懲役または100万円以下の罰金」が科せられることとなりました。
今回の重罰化により、制裁の実効性が高まるため、違反等の抑止が期待できます。

◆法人に対する罰金刑の引き上げ
現行法では、法人に対する罰金において、行為者等と同じ懲役刑・罰金刑となっていましたが、今回の改正法では違反の抑止効果を高めるため、法人に対する罰金刑が引き上げられました。

【現行法による法人への罰則】

• 措置命令違反の罰則：30万円以下の罰金
• 個人情報データベースの不正流用：50万円以下の罰金
• 報告義務違反の罰則：30万円以下の罰金

【改正後による法人への罰則】

• 措置命令違反の罰則：1億円以下の罰金
• 個人情報データベースの不正流用：1億円以下の罰金
• 報告義務違反の罰則：50万円以下の罰金

⑥外国事業者に対する罰則の追加

現行法では、外国事業者は報告徴収・命令および立入検査などの対象ではありませんでしたが、改正後は、日本国内にある者に係る不適切な個人情報等の取扱いをした場合に対して、外国事業者も罰則が適用されるようになりました。

GDPR関連で不安がある場合は迷わず専門家に相談する

Web上から収集する個人情報に関しては、年々規制が厳しくなっています。

自社の運用について少しでも不安を感じる場合は、一度専門家に相談したほうがいいでしょう。Web系に詳しい弁護士などでもいいですが、Webコンサルティング会社への相談なら広告運用や自社サイト運用と絡めて相談可能です。

当社は広告運用コンサルティングを提供しています。広告運用コンサルティングでは、中長期の広告運用に即したプラン設定を行い、分析・改善までしっかりサポートいたします。