サイトアイコン TechWave(テックウェーブ)

5分でわかるGDPR、名刺交換でメルマガ送信もNG #happygdprday

maskin

欧州連合(EU)で2018年5月25日に発効された法律「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が話題になっています。

GDPRとは、EU加盟28か国、約5億人の国民と居住者に関するデータを集める全ての企業に、そのデータが侵害されてから72時間以内に漏洩を報告する義務が生じるというものです。もちろん、日本企業も含まれます。

これに違反すると莫大な制裁金が課せられるため軽視することはできませんし、データプライバシー規制におけるWeb史上最重要のプライバシー保護規制であることは間違いありません。私たちは弁護士ではありませんので法的助言はできませんが、最低でも理解しておいたほうがいい項目についてざっくり整理してみました。

罰則は日本企業も対象

GDPRについて日本で報道されている話題として「一部のニュースサイトがEU圏内で閲覧できなくなっている」というものがあります。主に米メディアが閲覧規制を敷いているようですが、これは英語のニュースサイトはEU圏内で日頃から読まれており、この規制に対応できない限りEU圏内からのアクセスを制御しようというものです。

日本語のサイトを閲覧する人がEU圏内にどれくらいいるか不明ですが、日本のサイトであろうとEU圏内の人の個人情報漏洩を起こした場合GDPRに対応する必要でてきます。

仮に 、EU圏内向けの事業を展開している企業がGDPRに準拠しない場合、その企業の年鑑売り上げの最大4%もしくは2000万ユーロ(25.6億円)の罰金が科せられます。

もちろん、これは深刻なプライバシーデータ漏洩を起こしたFacebookやGoogleといった大手企業を主な対象としているもので、いきなり小さな企業にこういった罰金が科せられるとは考えられません。大切なのは、EU圏内の個人のデータを侵害したり、制御不能な状態に置くことを無くすというのがGDPRの基本的な目的だということを理解することです。

世界のプライバシー規制が変わる

GDPRは、EU加盟28か国の国民と居住者=約5億人の人々自分の個人情報を管理できるようにすることが目的ですが、これにより世界中の企業のデータプライバシーに対する姿勢が変わるのは必至です。

GDPRは、個人が識別できる氏名や電子メール、物理アドレス、IPアドレス、そして健康情報や所得といった個人データを含め、これらを収集・保管・使用する方法をルール化するものです。

例えば、EUの居住者から個人情報を収集する場合は、具体的かつ明白に同意を得る必要があります。日本でもよくありますが、初対面で名刺交換しただけなのに「私のメルマガへようこそ!」とメールマガジンを送りつけるのはNG。スパムメールは当然規制の対象ですし、個人データを売ることも(本人の同意無しには)できません。

これに加え、プライバシーデータを、どこに・どのように処理・保存するかを通知する必要がでてきます。個人は、そのデータを取得できる権利を持ち、削除を依頼も可能になります。

これらにおける違反が発生した場合、特定の場合を除き、72時間以内に当局に報告しなければなりません。高いリスクがある場合はその個人にも通知する義務があります。大企業の場合、こうした対処が確実にできるようするために、データ保護担当役員を置く必要があります。

こうしたプライバシーデータ保護の対処は、GDPRありきではなく、世界中で発生し深刻さを増しているプライバシーデータ侵害に対処する大きな取り組みとしてEUの枠を超えて浸透する可能性が考えられます。

コメント欄なども対象、GDPRの範囲

仮に日本の写真サイトにEU圏内の人がコメントを残したとします。ログインが必要となる場合、ウェブブラウザ内にメールアドレスなどを保存し、次回のログインが容易になるような仕組みが使われることが多いですが、これもオプトイン(認可)がないとGDPR違反になります。

すでにブログCMSの大手Wordpressなどはアップデートによりコメント欄におけるGDPRオプトインオプションを実装しています。しかし、こういった小さな部分でGDPR違反が発生する場合、規模が大きいサイトでは軽視することはできなくなるでしょう(米国のメディアのEU規制はこういった機能的な実装が間に合わなかったと考えられます)。

また、アクセス解析ツールなどを導入している場合、個人データが含まれる場合は匿名化をするなどの手続きが不可欠になるでしょう。

GDPRへの対応は一つのシステムをインストールしたら100%解決、というものではありません(100%OKという会社・サービスは一端冷静につきあったほうがいいかもしれません)。

これまで長らくないがしろにされてきた、個人識別情報や個人データの権利をその所有者個人に取り戻す世界規模の大きな取り組み、それがGDPRと考えてもいいと思います。

【関連URL】
・[公式] EU GDPR Information Portal
・[記事] EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

蛇足:僕はこう思ったッス
 日本における個人識別情報や個人データの扱いは、おそらく先進国だけをみても最低、国民がプライバシーデータ保護を遵守しているかどうかもあやしい状態にあったと思う。PTAの名簿に電話番号を載せるのは極端に嫌がるにもかかわらず(間違っているわけではないですが、そもそものそういった情報をいくらでもコピーできる紙で配付できるなど情報の扱い方がおかしい)、個人情報を不明瞭なオプトインで関連企業等に売り渡す大手チェーンのサービスは喜んで使う、そんなゆがんだプライバシー情報の認識がGDPRの影響でよりよい方向に向かうことを期待したい。

モバイルバージョンを終了