今さら人に聞けない”GDPR”とは｜日本への影響と対応も合わせて解説

はじめに

近年個人情報の取り扱いに関するニュースをよく見るようになりました。

最近でいうとFacebookユーザーのデータ、およそ8,700万人分がコンサルティング会社ケンブリッジ・アナリティカによって不正利用されていたというニュースは記憶に新しいのではないでしょうか？

日本でも個人情報保護法が改定されましたが、まだWeb上のデータに関しては大きく問題視はされておりません。一方海外では、数年前からWeb上の個人を特定する情報（IPアドレスやCookieなど）に関しても問題視され始めました。そのような流れを受け、GDPRという法律が施行されます。

本コラムではGDPRとは何か、またその影響などに関して説明していきます。

GDPRとは？

GDPRとは「General Data Protection Regulation」の略で、日本語に訳すと「一般データ保護規則」となります。

EUで1995年から適応されているEUデータ保護指令に代わり、2018年5月25日から施行されます。

GDPRにおける個人情報の処理について

GDPRで特に注意しておきたい点は以下の2点です。

つまり、Cookieなど今まで個人情報とみなされていなかったデータも個人情報とみなされるようになり、取得する際にはユーザーの同意が必要になるということです。

また、上記以外にも

など今まで以上に個人情報の取り扱いに対して厳しくなりました。

GDPRの罰則について

GDPRに従わなかった場合、最大で企業の全世界年間売上高の4％以下、もしくは2000万ユーロ以下のいずれか高い方が適用されます。

執筆時点(2018/05/14)で1ユーロ131円でしたので、円換算すると2000万ユーロは約26億円にもなってしまいます。最低でも26億円を支払わなければならないというのは、企業にとって非常に大きな損害になるのではないでしょうか。

GDPRの日本への影響は？

従わなければ多額の罰金が課せられてしまうGDPRですが、実はEU諸国にのみ適応される訳ではありません。日本でもGDPRを遵守しなければならない場合があります。

GDPRの対象企業

対象となる企業は以下の通りです。

(1) EUに子会社や支店、営業所などを有している企業

(2) 日本からEUに商品やサービスを提供している企業

(3) EUから個人データの処理について委託を受けている企業

引用：EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

EU圏に会社がある場合はもちろん対象となります。しかし実は見落としがちな条件もあるのでご注意ください。

見落としがちなGDPR適応条件

GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される。

GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。

• EEAのデータ主体に対し商品又はサービスを提供する場合
• EEAのデータ主体の行動を監視する場合

*EEA…「European Economic Area」の略。日本語に訳すと「欧州経済領域」となる。

引用：EU一般データ保護規則(GDPR)の概要(前編)

とあるように、EU圏内にいるユーザーのWeb上の行動データを取得している場合もGDPRの範囲に含まれてしまいます。

つまり、意図していなくてもインバウンド向けの英語のサイト等を運営しており、そこでCookieなどを取得していた場合、上記した個人情報の処理を行わなければ罰則の対象になってしまいます。

また、以下のような条件でも保護対象の個人データになります。

• 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
• 日本企業から EEA内に出向した従業員の情報（元は日本から EEA内に移転した情報）
• 日本から EEA内に個人データを送付する場合（基準に沿って EEA内において処理されなければならない）
• 日本から EEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

引用：EU一般データ保護規則(GDPR)の概要(前編)

上記のように、出張や旅行で短期間EU圏内に滞在した日本人のCookieなどもGDPRの範囲に含まれてしまうので注意が必要です。

気づかないうちに自社が罰則対象となっていることもあるので、少しでも心当たりがある場合は一度確認してみてください。

GDPRへの対応はどうすればいいの？

現時点では日本向けの日本語対応のみの商品、サービスであれば特別な対応をする必要はないようです。

しかし、上述したようにEU圏にいるユーザーが使用している可能性もありますので、もしCookieなどの情報を取得しているのであれば、EU圏内からのアクセスがないかを調べてみてください。

また万が一多くのアクセスがある場合や、EU圏内のユーザーに向けた商品、サービスを展開している場合は上述したようにGDPRの個人情報の処理を遵守してください。

3rd party cookieをさまざまなパブリッシャーから取得しているようなパブリックDMPを提供しているデータベンダーは、データの取得元がきちんとGDPRに対応しているかをチェックした方がいいでしょう。

また反対にそのようなデータベンダーにデータを販売している企業は、GDPRに対応していないと取引を中止されてしまう可能性もあるため、注意してください。

実際Group Mではデータ保護契約の署名^※1を求めており、契約に署名しないパブリッシャーとの取引を中止すると述べています。

GDPRの要求項目は多岐にわたるため、自社だけで判断ができない場合や対応ができない場合は、専門の企業に依頼することをお勧めいたします。

※1：グループ・エムのGDPR 対応対策、パブリッシャーらに波紋

まとめ：今後の動向について

アメリカでもGDPRに似たCONSENT法案という法案が提出され、世界中でオンライン識別子までも個人情報として取り扱おうとする動きが起きています。

現在広告のターゲティングはオンライン識別子をもとに行われています。そのため、ターゲティングができなくなってしまうのではないかという懸念も浮かんできています。

しかし、このような動きに対し、オンライン識別子などで個人を特定しなくともターゲティングができる技術の開発も進んでおり、オンライン識別子を個人情報とみなすことが受け入れられる流れがきています。もしかすると近い将来、日本でもこのような流れがくるかもしれません。

今後も個人情報の取り扱いとそれに関する取り組みについて注目していかなければならないでしょう。