SENSORS

コラム

2018.05.25

GDPRとは?―今後のオンライン事業者の個人情報取り扱い対応―

タグ

GDPRという言葉を耳にされる事があるのではないでしょうか?
GDPRとは何か、また私たち日本企業の経済活動にどうかかわってくるのかをわかりやすく解説します。

GDPRとは

GDPR(General Data Protection Regulation:一般データ保護規則)とは欧州連合(EU)が新しく施行した個人情報保護に関する法律です。
2016年5月24日に発効されてから、2018年5月25日に適用されました。

現在、Facebook、Google、Amazonなど世界的に利用ユーザを抱える企業は個人情報を取得し広告主や利用ユーザにとって利便性の高いサービスを提供しています。
しかし、その個人情報は企業がサービスを提供するうえで、利用して良いものなのか問われ、個人のデータはあくまで個人のものであり、企業がその個人データの権利を持つのでなく、個人が権利を持つものとされました。

GDPRはEU対Facebook、Google、Amazonだけではなく、グローバルに経済活動を行う日本企業にもかかわってきます。
EU域内で取得した個人情報をEU域外に移転することを原則禁止とされました。
もし取り扱うとしたら個別に連絡をして許諾を得る必要があり、情報を利用し続けるためには承認が必要です。
その個人情報には、EU域内への日本人旅行客や日本企業から出張した日本人の個人情報も移転することは禁止に含まれており、かなりの注意が必要とされます。

GDPRの規則項目

GDPRで決められた項目は以下の主な規則項目を含め、全部で99条も定められています。
定められた規則に準拠していない場合、違反となり制裁金が課せられます。規則を厳しく守るために働きかけられています。

  • 企業は個人データを管理するために管理者、処理者をおき、適切な安全管理措置を行う
  • 欧州経済領域の域内から域外への個人データの移転は原則として禁止
  • 個人情報データにおいて、企業が求める個人情報保護の同意を本人は自由に撤回できる権利がある
  • 企業が個人本人からデータを直接取得していない場合、企業は取得情報の入手先を本人に通知する必要がある

影響を受ける日本企業

  • 日本に本社を持つ企業でも、EU域内に支社や関連会社がある企業
  • EU域内の消費者に対し商品やサービスを提供している企業
  • EU域内の企業へサービスとして日本のデータセンターなどを提供し、個人データを所有している企業

日本企業としてGDPRに対する取り組み

現在の日本の個人情報保護にかんする法律では、欧州委員会が定める規則に対して十分には至っていません。
そのため企業自身がGDPRに対応した取り組みが必要になります。
まずは、EC域内の個人情報を所有していないか棚卸し、個人情報の管理体制の構築、運用ルールをGDPR規則項目に準拠したかたちで構築する必要があります。
日本の企業であってもグローバルに経済活動を行う企業にとっては、適用対象となり、注意が必要です。
Webサイト構築やオンラインサービス構築など個人情報を取得する可能性がある場合、個人情報の取得や処理をGDPRの規制に則る必要があります。
GDPRで保護対象となる個人データについて、さまざまなケースが想定されるため、個人情報を扱う事業、サービスを行う日本企業全てにおいて、今後GDPRを考慮した取り組みが必要です。
既存のWebサイトにおいてもプライバシーポリシーを見直すなど準備が必要です。

[個人情報の一例]
・氏名
・所在地データ
・メールアドレス
・オンライン識別子(IPアドレス、クッキー)
・クレジットカード情報

参考文献

タグ

サービスに関するご相談・お問い合わせ

実績や各種サービスに関するご相談やお見積もりなど、お気軽にお問い合わせください。