GDPR（EU一般データ保護規則）とは？WEBサイト運営で押さえておきたいポイント

近年、個人情報保護の重要性が増しています。ひとたびユーザーのデータが流出したり、不正利用されたりすると、ニュースでも大々的に取り上げられます。特に、インターネットを介して情報を気軽にやり取りできるようになったからこそ、個人情報の保護にどのように取り組むかは企業にとって大きな課題でもあります。

こういった流れを受け、2018年にはGDPR（EU一般データ保護規則）が施行されました。これは個人データのEU域外移転が原則禁止される規則で、違反時の制裁金の高さから、GDPR対応を検討する日本企業も増えています。

とはいえ、「どんな情報が対象になるのか」「日本企業にはどんな影響があるのか」等、不明点が多いと悩まれる方もいらっしゃると思います。そこで、今回はGDPRの基本的知識と、WEB担当者が気をつけるべきポイントについて解説します。

GDPRとは？

GDPRとは、「General Data Protection Regulation」の略称で、日本語では「EU一般データ保護規則」と呼ばれます。EUで1995年から適用されているEUデータ保護指令に変わるものとして、2018年5月25日（現地時間）から施行されました。

GDRPの概要を端的に言うと「EEA（欧州経済領域）で取得した個人データの域外移転が原則禁止される」ということです。一見EU内にしか関係ない規制と思われるかもしれませんが、インターネットを介して世界中の情報にアクセスできるようになった今、GDPRは日本を含む世界各地の企業や組織に影響を与える規則になっているのです。

GDPR制定の背景

制定の背景には、急速な国際化とIT技術の進展が挙げられます。あらゆるものをデータ化してマーケティングや商品開発に活かすのが当たり前という時代において、個人情報をいかにして守るかというのが重要な観点になってきました。

もともとEUでは個人情報保護に関する法整備に注力する動きがあり、こういった世界の流れに適応することを目的にGDPRが生まれたのです。

GDPRで保護される「個人データ」とは

GDPRで保護の対象になるのは、EU加盟国＋EEA加盟の3カ国に住んでいる一般消費者と、現地で働く従業員などを含むすべての個人識別に繋がる情報です。

氏名やメールアドレス、映像や写真などが保護されるのはもちろんのことですが、日本国内の個人情報保護法と大きく異なり、IPアドレスやCookieのようなオンライン識別子も個人情報として保護の対象になっています。他のデータと組み合わせることで、個人識別につながる可能性があるからです。

企業がやるべきこと

企業は、個人情報を取得する場合に必ずユーザーの同意を得なくてはなりません。その際は、身元や連絡先、データの目的、第三者提供の有無、保管期間などについて明記する必要があります。

それ以外にも、大量の個人情報を扱う企業は「データ保護オフィサー」の任命が義務付けられ、不必要に長期間個人情報を保護することが禁止されるなど、個人情報データの取扱に対してかなり厳しい取り組みが求められます。

日本への影響は？

GDPRの対象となるのは、EU諸国だけではありません。日本企業にも、GDPRを守らなければならない場合はあります。

GDPRの対象となる企業やウェブサイトの考え方

GDPRの対象となる企業は、以下のような企業です。この条件に該当すれば、日本企業であってもGDPRへの対応を進めなくてはなりません。

• EUに子会社や営業所、支店などがある企業
• 日本からEUに商品やサービスを提供している企業
• EUから個人データ処理について委託されている企業

EU内に活動拠点がある場合や、ネットショッピングなどで商品を直接販売している場合には、GDPRに基づいた個人情報保護に取り組まなくてはなりません。

また、日本国内で活動している企業であっても、EU内にいるユーザーの行動データを保有する場合には、GDPRが適用されます。特に問題となるのが、EU内にいるユーザーのインターネットを使った行動データを収集しているケースです。

例えば、インバウンド向けの多言語サイトを運営していて、EU圏内からアクセスしているユーザーのCookieなどを取得していれば、GDPRの対象になるのです。EUからアクセスできるサイト内にお問い合わせフォームやメルマガ購読などのフォームを設置していたり、Google AnalyticsなどCookieを取得できる分析ツールを導入している場合も同様です。出張や旅行で短期間でのEU圏に滞在した日本人のデータも、GDPRで保護される範囲に含まれるので、注意が必要です。

違反企業への罰則規定あり

GDPRへの対処が重要視されているのは、違反企業への罰則規定が厳しいからです。具体的には、以下の制裁金が定められています。

「企業の全世界年間売上高の2％」または「1,000万ユーロ」のいずれか高い方

• データの取扱に対して、適切な技術的組織的安全管理を実施しなかった場合
• 記録を書面で保持していない場合
• データ漏洩が発生したにもかかわらず、すぐに通知しなかった場合
• データ保護オフィサー（DPO）を適切に任命していなかった場合

「企業の全世界年間売上高の4％」または「2,000万ユーロ」のいずれか高い方

• 個人データの処理に関する原則や適法な取扱、同意に関する条件を遵守しなかった場合
• 個人データの域外移転に関するルールを遵守しなかった場合
• 監督機関からの命令に従わなかった場合

参照元：EY Japan_EU一般データ保護規則（GDPR）の概要と企業が対応すべき事項

2019年1月には、Googleに対して5000万ユーロ（62億円）の制裁金の支払いが命じられました。データ主体への情報提供が不十分で、データの取扱に対する透明性が認められないと判断されたからです。また、ターゲティング広告でデータ取得をする際に、デフォルトで同意する設定になっている点も問題視されています。

個人データ取得に対する透明性や同意について厳しい姿勢を見せているGDPR。大企業だけでなく中小企業も対象ですから、「知らなかった」では済まされないのです。知らず知らずのうちにGDPR違反をしている可能性があるので、一度社内の状況を確認されることをおすすめします。

WEB担当者が気をつけるべきポイント

基本的には、日本語対応のみの国内向けサービスであれば、急いで特別な対応をする必要はありません。しかし、ウェブサイトは世界中どこからでもアクセス可能なものですから、EU圏からのアクセス情報を調べて対応を検討する必要があります。

WEB担当者が気をつけるべきポイント、やるべきことをご紹介しますので、できるところから着手してください。

EU圏内からのアクセスを調べる

まずは、EU圏内からのアクセスの有無を調べましょう。国内からのアクセスのみであれば、急いで対応を進める必要はありません。ただ、以下に続くGDPR対策を進めておくのは、個人情報保護対策として悪いことではありません。

ビジネスに必要なデータの取扱い方法を定義する

個人データをどのように取得し、取り扱っているのかの現状分析を行いましょう。どこにどのような個人データがあるのか、保管場所はどこか、データの国外移転はあるか、EU居住者データの外部委託はあるかなどをまとめます。

利用しているツールがGDPR対応か確認する

アクセス解析ツールではCookieなどの個人データを取得しますから、使うツールの選定や設定にも注意が必要です。例えば、Google Analyticsではデータの自動削除機能がリリースされました。いざというときにGDPRに対応できるツールを選んでおくというのも対策の一つです。

不要な情報を取得していない確認する

取得している情報が多いほど、管理も煩雑になり負担が増えています。GDPRへの対応をきっかけに、不要な個人データはそもそも取得しなくても済むようにフローを変えてしまうのもおすすめです。

例えば、氏名や住所、電話番号、会員IDなどを取得している場合は、その必要性を再検討しましょう。

プライバシーポリシーを見直す

GDPRに対応する形になるよう、プライバシーポリシーやCookieポリシーを見直します。対外的に公開する部分ですから、まず取り組んでおきたい項目です。

特に、以下の項目は明確にしておきたいポイントです。

• いつ、どのように、何のために、何の情報を収集するのか
• データの保存期間
• データの保存場所
• データ削除について（削除方法や削除に対応する基準）
• データ処理の適法性について
• サードパーティーサービスの利用について

これらを網羅したプライバシーポリシーを準備していく中で、自然と個人情報保護への取り組みも進められるはずです。

また、個人データを積極的に収集している場合（お問い合わせやメルマガ購読などの入力フォームなど）は、フォーム周辺にわかりやすく個人情報への取扱いについての情報を記載するのがおすすめです。

サービスの見直しや改修を行う

現在運営しているウェブサイトが、ユーザーのメールアドレスや氏名などの個人情報、Cookieなどを取得している場合は、ユーザーに許可・同意を明確にもらうためのフローを構築する必要があります。

オプトイン（個人情報取得についての許可に応じること）やポップアップ表示、オーバーレイ表示などで許可を促します。JavaScriptで自作することもできますし、同意の有無を管理するツールもリリースされているので、活用すると手間を省くことができます。

問い合わせや資料請求の場合は、その後の個人データ削除を希望するかについて確認し、その返答に合わせて一定期間後に削除できるよう仕組み化すると安心です。

責任者を決める

GDPRでは、一定の要件を満たした企業に対して個人情報保護の責任者であるデータ保護責任者（DPO : Data Protection Officer）の設置を義務化しています。その要件には該当しなくても、GDPR対応を円滑に進めるために、社内で個人情報保護の取り組みに対する責任者を決めておくのは大切です。

有事の際のフローを構築する

GDPRでは、データ漏洩が発生した際の迅速な報告が義務付けられています。もしデータ漏洩があった場合には誰が、どのように、どんな順番で対応を行うのかの想定を行い、フローを作っておきましょう。

データを匿名化する

GDPRでは、IPアドレスも保護対象の個人データに含まれます。レポート画面でIPアドレスを表示することはできなくても、システム内部に保存されているだけでデータ管理責任を問われてしまいます。Google AnalyticsやAdobe AnalyticsにはIPアドレスを匿名化する機能もあるので、有効にしましょう。

一定期間を過ぎたデータは削除する

収集した個人データについて、その目的を達成するための合理的な期間を定め、その期間を過ぎた後は削除するフローを作ります。

セキュリティを強化する

GDPRでは、個人情報を守るために情報漏えいには厳しい対応をとっています。万一漏洩があった場合は、72時間以内に監督機関へ通知し、必要に応じて個人へも通知しなければならず、これに違反した場合は制裁金が課せられます。

どんなに個人情報取得に関する対策をしっかりしていても、肝心のデータが漏れてしまっては意味がありません。適切に情報を守ることができるよう、セキュリティ対策を見直しましょう。サイバー攻撃や不正アクセス等外部からの攻撃によるデータ流出に備えてセキュリティ製品を導入するだけでなく、社員の不注意による情報流出を防ぐための社内教育も大切です。また、個人データを暗号化して管理するのも、リスク回避に一役買います。

社内教育を行う

GDPR対策を会社全体で行うためには、従業員一人ひとりの理解が欠かせません。しかし、日本国内でのGDPRの認知度は低いというのが現状です。

社内教育や研修を通じて、理解度を高める取り組みを行いましょう。特に、人事・総務・マーケティング等個人データを扱う部署に対しては丁寧な指導が必要です。

おわりに

インターネットを介してさまざまな情報に触れられるようになったからこそ、個人データの保護は今後も重要視されていくはずです。GDPRに限らず、日本国内に置いても今後も新たな法律が制定される可能性もあります。

GDPRを始めとするデータ保護への取り組みを積極的に行うことは、企業にとって大きな負担ではありますが、裏を返せば顧客のための取り組みが徹底できていることでもあります。個人情報保護に取り組んでいる姿勢をアピールできれば、「信頼できる企業」だとしてブランディングにも良い影響を与えます。結果として、顧客満足度向上や売上アップにもつながるかもしれません。

日本国内でのGDPRの認知度はまだまだ低く、取り組みができている企業は少ないです。自社を守るためにも、他社との差別化のためにも、GDPR対応に前向きに取り組んではいかがでしょうか。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

デジタルマーケティング研究所編集部

デジタルマーケティング研究所では、デジタルマーケティングの施策・広告・技術を、分析・実装・検証して、WEB担当者・マーケティング担当者の方の役立つ情報を発信していきます。

>最新記事 by デジタルマーケティング研究所編集部 (全て見る)

• 用語解説：外部リンクとは - 2024年10月18日
• 用語解説：サイテーションとは - 2024年10月18日
• 用語解説：内部リンクとは - 2024年10月18日