日本国内では罰金が高額であることや、Google Analyticsのデータ保持期限の話題で注目を集めているGDPR(EU一般データ保護方針)ですが、どのようなものか理解できているでしょうか。この記事では、GDPRとはなにか、どのような対応が必要なのかについて紹介します。具体的な対応方針については、社内の法務部やGDPR対応のコンサルティング会社に相談のうえ進めましょう。

GDPR(General Data Protection Regulation:EU一般データ保護規則)とは

GDPRは、EEA域内に所在する個人データの処理と移転に関するルールです。EEAとは欧米経済領域、EUにアイスランド、リヒテンシュタイン、ノルウェーを含んだ31カ国を指します。

消費者にとっては、個人データの処理を厳格化することでプライバシーを強化、データに対する権利の拡大とデータの利用目的の透明性を向上されます。企業にとっては、この規則に対する罰則が高額(最大で2200万米ドル、またはその組織の全世界での年間売上高の4%相当額のどちらか高額な方)であることから、注目を集めています。

現在、webサイトでどのようにレコメンデーションされているのか、どのように広告が配信されているのか、それらに使われている個人情報はどのように収集され、誰がアクセス可能なのかということに関して、不明瞭な状態となっています。

ヨーロッパで5月25日に施行されたGDPR(EU一般データ保護規則)では、消費者にデータを収集していることを明示するのはもちろん、どのようなデータを集めているのかも明らかにして許可を取らなければならないとしています。

個人情報というと、氏名や住所、電話番号、メールアドレスを思い浮かべるかもしれませんが、IPアドレスやwebサイトやアプリでの行動履歴を取得する場合にも、収集の目的を明らかにして許可を取る必要があります。そういった意味では、EEA圏内に対してwebサイトやアプリを提供している企業のほとんどが何らかの対応をする必要があると言えます。

日本の企業にとって影響があるのか

GDPRの対象は、サーバーが日本にあるかにかかわらず、EEA域内の居住者がサービスを利用しているならば対象となります。

ただし、対象はEEA域の消費者に対してサービスを提供していることが明らかである場合に適用されることになっているため、日本語のみのサービス提供では適用されない可能性もあります。英語のサイトを用意している場合には、日本語のみでサービスを提供している場合よりも、格段にGDPRの適用対象となる可能性が高くなると考えて良いでしょう。

GDPRに向けた対応

明確に対応方法が明らかになっていないため、詳しい対応は社内のGDPRを理解している法務部や、GDPRの対応を支援しているコンサルティング会社に依頼しましょう。主に、次のような項目を確認してGDPRを遵守する対応が必要となります。

記録しているデータの確認

まずは、どのようなデータを記録しているかを確認する必要があります。フォームで入力されているような個人情報はわかりやすいですが、webサイトやアプリの行動を記録するために利用しているサードパーティーのツールも確認しなければなりません。

また、広告のために利用している、DSPや接続されているアドネットワークなど、記録しているデータは多岐に渡ります。まずは、どのようなデータを記録しているのかを明らかにしましょう。

ユーザーへのデータ取得の同意の確認

日本のプライバシーマークを取得し、それに沿ったプライバシーポリシーの同意があっても不十分である可能性があります。例えば、データの利用目的が明確になっていなかったり、取得するデータを明示できていなかったりというケースが考えられます。

また、ユーザーがデータの記録を拒否(オプトアウト)できるようにしておく必要があります。

データの保存・削除の方針の確認

個人情報にアクセスできる人を制限したり、データから直接個人を特定できるようにする必要があります。データ漏えい時の対策や、責任者を明らかにする必要がある点など、どのようにデータを管理するかは明らかにしておく必要があります。

まとめ

GDPRに関しては、まだまだ情報が不足しているため対応方針について判断しづらい状況ですが、すでに施行されており、対応については視野にいれておきましょう。