このエントリーをはてなブックマークに追加

はじめに


5月25日から施行されたGDPR(General Data Protection Regulation:EU一般データ保護規則)は、EU域内において個人情報保護を厳しく統制する事業者向けの規則です。
一概に直接EU向けのビジネスに関与していない、EUに事業所が無いから大丈夫というわけではなく、EU域内に居住する人の個人情報を取扱う事業者、つまり日本に拠点がある企業でも、EU居住者の個人情報を取扱う場合GDPRが適用されるケースがあります。また、甘く見ていると年商の4%もしくは2,000万ユーロのいずれか高いほうという高額な制裁金を払う事態につながりかねません。
そこで今日は、今さら感はありますがGDPRの概要を皆様にお伝えします。

目次


・プロローグ
・そもそもGDPRとは
・高額な制裁金
・日本企業が気を付けるべき代表的なケース
・最後に


プロローグ



※本記事はGDPRの法的解釈を説明するものではありません。あくまでもGDPRの理解を高め、対策を訴求するものです。あらかじめご了承の上お読みください。

この記事では5月25日に施行されたGDPRについてお話します。
筆者である私の仕事は、コネクシオという会社の、B2Bビジネス部門のマーケティング・プロモーションです。となると、「GDPRはこの人の業務から離れたトピックかな」と思われる方がほとんどだと思います。
しかし、IT業界で働いていて、弊社はモバイルセキュリティのシステム、クラウドサービスの取扱が年々増えており、それらのマーケティングを担う立場であること、そしてWebページやSNS上で皆様の個人情報を取扱う上で理解しておくべきだと思い、この度こうしてブログにまとめることにしました。
「自分の業務にGDPRは関係ないな」と思っている方向け、「今から追いつくGDPR」と題して簡単にご紹介します。


そもそもGDPRとは


GDPRとは、General Data Protection Regulationの略称です。日本ではEU一般データ保護規則と呼ばれています。日本で昨年5月30日に施行された、個人情報の保護に関する法律のEU版のようなものですが、その内容と罰則は非常に厳しい内容です。

GDPRのポイントは大きく4つです。

・EU域内の事業者だけではなく、EU外の事業者であっても、
 EU居住者の個人情報を取扱う事業者
に適用される


・EU域内で取得した個人情報を管理する細かいプロセスが
 決められている


・EU圏外に取得済の個人情報を移転することが原則禁止と
 なっている


・GDPRに違反すると高額な制裁金が課される




例えば、EU域内に事業所がある日本の企業では、現地駐在員の個人情報もGDPRの対象となるため、業務上のちょっとしたデータのやりとりにGDPRが適用される場合があります。また、EU域内に事業所がなくても、日本のWebページでEUの顧客が商品購入をする際、氏名や連絡先、配送先をオンラインで送信する場合、GDPRが適用されます。
また、GDPRに違反するとその内容にもよりますが、莫大な額の制裁金が事業者に課されます。

高額な制裁金


GDPRに違反した場合、その内容にもよりますが2,000万ユーロもしくは企業の世界年間売上高の4%のいずれか高いほうという、莫大な制裁金が課されます。5月25日現在1ユーロは128.21円ですから、2,000万ユーロはざっと25億円超です。この計算をした後、これはなまじ他人事ではないなと更に強く思いました。
また、制裁金だけではなくデータ処理の停止命令が下る可能性もあり、事業継続に大きな影響を与える内容となっています。

GDPRが適用される範囲 日本企業が気を付けるべき「域外適用」


GDPRは前述の通り、EU域内の事業者だけではなく、「域外適用」という考え方があり、つまり私たち日本の企業該当することがあります。例をいくつか挙げてみましょう。


・EU域内に現地法人がある
 EU域内の顧客や従業員の個人情報は、GDPRに則ったデータの取扱が求められる

・EU域内の居住者に商品・サービスを提供するために個人データを取得し、EU域外で利用している
 ECサイトやWebフォーム上で、Cookieを含む個人情報を収集する場合がこれにあたる

・EU域内に個人情報を保管/処理するサーバが存在する
 クライアントがEU域外であってもEU域内に保管/処理する個人情報は、GDPRに則ったデータの取扱が求められる

・EU域内で個人情報(Cookieを含みます)を収集して国外でデータ処理をする
 EU域内で収集したデータ主体の行動をモニタリングしたり、データの分析や集計を行うこと


EU域内に事業所が無くても、今どき言わずもがなWeb上で国を越えて取引を行う企業は数多く存在しますし、Web上でEU域内の居住者に向けて商品、サービスの提供やマーケティング活動を行うときも注意が必要です。
マーケターの業務においては、Webフォーム等を使ったリードジェネレーション、オプトイン(顧客の意思に基づくメールやコンテンツの配信許可)といった、主にWebチャネルのマーケティング活動においてGDPRが関与するケースが考えられます。


最後に


ここでご紹介したGDPRの内容はほんの上辺に過ぎませんが、「日本の企業もGDPRは他人事ではない」ということが少しでも伝わりましたら幸いです。GDPR対策が各所で謳われている今のタイミングは、個人情報の取得、保存、利用をあらためて見直すいい機会なのかもしれません。まず取り急ぎ、自分の業務においてGDPRが関係するものがあるかどうかチェックしてみてはいかがでしょうか。



参考文献


「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)




鳴海佳弥(なるみ よしや)

コネクシオ株式会社入社後、携帯電話の管理運用アウトソーシングサービス、Salesforceと関連アプリのSEを経て、2017年より法人営業部門のマーケティング・プロモーションに従事。趣味は登山、オフィスでは毎日2リットルの水を飲む健康法を実践。最近興味があることはスパルタンレースへの出場。