GDPR施行について、対応策を調べる中で見えてきたこと
5月25日、世界で最も厳しいと言われる個人データ保護規制が施行されました。
欧州のGDPRです。
それに伴い私も「対応策を考えなければ!」と調査を開始した訳ですが、正直なところ、当初は苦戦していました。ですが考えてみれば当然です。そもそもGDPR自身のことをきちんと理解できていないままに ”何をすれば良いのか”だけを調べようとしても、パフォーマンスの良い情報収集などできるはずがありません。そこでもう少しマクロな視点でGDPRのことを調べてみました。GDPRはなぜ施行されたのか、そこに至った背景は何なのか、欧州が目指すものは何なのか・・・等。
その結果見えてきたものは、「やはりこのままでは絶対にマズイぞ」という結論だったのですが、今回のコラムでは、そのGDPRについて調べた結果を簡単にご紹介させていただきます。
GDPRとは
一言で言うと、「EEA(欧州経済領域。EU28カ国にノルウェー、アイスランド、リヒテンシュタインの3カ国を加えた31カ国)域内に所在する各人が自身で自身の個人データをコントロールする権利を保障する」ための法律です。何となく分かりますよね?
気をつけたいポイントとしては、EEA内に所在する個人といっても国籍や所在地を問わないこと(つまり、域外から出張や旅行で域内の国を訪れている個人を含む)、そして個人情報とは、直接的に個人と結びつけられることは無い、WEBサイトに訪れた時に取得されるIPアドレスやクッキー情報なども該当するという点があげられます。つまり、WEBサイトを持っていない企業がほぼ無い現在、GDPRの適用から完全に逃れられる企業は、ほとんどないと言えると思います。
重い制裁金
もしGDPRに違反した場合は、日本を拠点にした企業であっても、次のような制裁金が課せられます。
・軽度の違反 :1000万ユーロ(約12億円)、または前年売上高の2パーセント
・権利侵害などの違反 :2000万ユーロ(約24億円)、または前年売上高の4パーセント上記のうち、より高い方。こんな金額が課せられたら、中小企業などひとたまりもありません。
重い制裁金施行にいたった背景と、GDPRが目指すもの
施行の背景には、GoogleやFacebook等の存在があるとも言われています。これまで世界中の個人データで荒稼ぎしている、という批判が高まっているからです。サイトを訪れた瞬間、IPアドレスやクッキーなどのアクセスした人の個人データが、広告配信企業やマーケティング企業、アクセス解析を行う企業へ、またSNSのシェアボタンが設置されていたらGoogleやFacebookへと提供されています。もちろん、IPアドレスやクッキーだけでは直接的に個人を特定できないですし、今の日本では合法でありますが、これらが、サイト閲覧者(場合によってはサイト運営者も)が全く無自覚のまま行われていることを欧州は問題視し、現状を変えて行こうとしているのです。
欧州だけの動きなの?
問題はここです。GDPRは欧州の法律ですが、個人データ保護規制が厳しくなっているのは、世界的な動きだと言います。つまり、GDPRと同様の厳しい法律が、次にどこの国で施行されるか分かりません。実際、日本においても「個人が自らの個人データの管理を自分の手に取り戻す」ための官民の動きが始まっているようです。
今回、まさか欧州が我々のような中小企業のサイトの偵察に来ないだろうという考えがあったとしても(といっても訴えられない保証はどこにもありませんが)、近い将来、日本国内で同様の法律が施行されないとも限らないのです。
結論
すぐ、企業全体として、この問題に取り組むべきでしょう。自分たちは、どのような個人情報を取り扱っているのか、その棚卸から始めましょう。そして、無自覚に不必要な個人情報を収集しているとしたら、見直しましょう。また、GDPR対策と思わずに取り組むべきです。先述の通り、いつどの国が同様の法律を施行するか分かりません。そして、WEBサイトを運営している企業の方は、下記の対応を行いましょう。
- サイトに訪れたユーザー全員から、個人情報収集の同意を得ましょう
- 具体的にどのような情報を収集しているのか、それは何のためなのかプライバシーポリシーなどに全て記載しましょう
- ユーザーから個人情報の削除要請があった時に対応できる準備をしておきましょう
もちろん、弊社にご相談いただければお手伝い差し上げます。お気軽にお問い合わせください。