近年個人情報保護を考える際に話題になっていることの一つに、「GDPR」(EUの一般データ保護規則)があります。GDPRに対応するためには何をすれば良いのか、現在進行形で困っている企業セキュリティ担当者も多いかもしれません。
また、GDPRがそもそも何なのか、海外の規則だからこそ理解がなかなか追いついていない人も少なくないはずです。しかしGDPR違反には決して軽くない罰則が用意されているため、早い段階で理解を深め、適切な対応策を取ることは非常に重要になります。
そこで今回は、GDPRとは何かという点を整理したうえで、GDPR違反をするリスク(罰金の額など)、GDPR対応のための対策を解説していきます。
GDPR(EU一般データ保護規則)とは?
EU(欧州連合)では、GDPRという個人情報保護を強化するためのルールが2018年に施行されました。インターネット上では世界中の人とつながれる環境にあるため、海外の法律や規則についても、ビジネスを行ううえでは最低限注意を払う必要があります。特に個人情報となると、非常にデリケートな問題があるため、GDPRは日本国内においてはどのような影響があるのか、何らかの対応をすべきなのか気になるところです。
まずはGDPRの概要を整理しつつ、施行された背景やきっかけなどもあわせてご紹介します。
GDPRの概要:個人のプライバシーの権利の保護と確立
GDPR(General Data Protection Regulation)とは、日本語では一般データ保護規則と呼びます。これは、EU全域において施行された個人情報保護の規則であり、制定は2016年に制定、実際に始まったのは2018年5月からになります。
昨今、個人情報保護強化が重要視されているのは、日本国内だけではありません。海外でもプライバシーの流出や漏洩が関連する事件は非常に多く、現在では、世界中で個人情報保護に関する法規定やルール強化の協議が行われていると言えるでしょう。
- GDPRで定められている規則の内容を簡単にまとめると、次のとおりです。
- 個人情報に該当するデータを扱うときの収集や保存、利用に関するルール強化
- 個人情報保護の利用目的ごとに適切な説明をしたうえでユーザーから同意をもらう
- ユーザーからの提出した個人情報の閲覧、削除ができる状態にする
- 個人情報をEU地域へ転移することを原則として禁止する
- 違反があった際には警告・業務停止・罰金の対象となる
GDPRの施行によって、個人情報収集や保存、利用に関してより厳しい規則が設けられたのとともに、従来の規定よりも重い罰則規定が敷かれることとなりました。
なお、2022年時点では、GDPRが施行されてからすでに4年が経過していることになります。このためGDPRの運用は、EU加盟国でのビジネスにどのような影響を与えているのか、徐々に実態が明らかになってきています。
その中でも特に注目すべきは、罰則の実態でしょう。よりセンセーショナルだったのは、2020年のおよそ1年間での罰金総額に関するレポートでした。この1年間だけでも、GDPR違反による罰金総額はなんと1億5850万ユーロ(日本円でおよそ200億円)にも及び、個人情報保護に関する価値観の変革が色濃く反映されていることがわかります。
GDPRは、原則としてEU全域における規定になりますが、グローバル化やインターネット環境の普及もあり、日本を拠点としてビジネスを展開する企業や人にも、何らかのかたちで関係してくることはゼロではありません。そのためGDPRの内容についてしっかりと理解を深めていきましょう。
GDPRの個人データの対象
では、GDPRでいうところの「個人情報」はどのような情報が該当するのでしょうか。定義を引用すると、GDPRにおける個人情報は「識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。」と定義づけられています。
もう少しわかりやすく、具体的な例を見ながらピックアップすると、GDPRの個人データには次のようなものがあてはまります。
- 氏名
- 住所
- メールアドレス
- 個人IDの番号
- IPアドレス
- CookieのID
- クレジットカード番号
- パスポートの情報
- 位置情報
- 医療機関が管理するカルテの情報
etc.
このように個人データは、特定の個人を識別しうるデータのことを指します。例えば生年月日のみでは、同じ生年月日の人はたくさん存在するため個人情報に該当しませんが、氏名や住所などは個人を識別できる可能性を持つため、GDPRのもとでは厳重に取り扱う必要があります。
GDPRが施行された背景
GDPR施行の背景にはさまざまなことが考えられます。EUには、EUデータ保護指令というデータ保護の規則が存在していました。しかしこの従来の規則では、ネット環境において取得できる個人データの取り扱いについての具体的な取り決めが存在しておらず、規則によってオンライン経由の情報事故から人々を守ることが困難な状況にあったのです。
このような状況が、インターネットの普及とサイバー犯罪の流行によって問題化し、GDPRを制定して個人データ保護の強化を図ったものと考えられます。GDPRは2016年に制定され、2018年5月に施行される運びとなりました。
GDPRでは、オンライン上での個人データの取り扱いについても厳格化を図り、上でも触れてきたように従来よりも重い罰則が設けられました。実際の罰金額がかなり大きくなって話題を集めたこともあり、GDPR環境下でのビジネスの変化には、世界中で多くの人や企業が注目を寄せています。
GDPRの対象となる日本企業は大きく3つ
グローバル展開を行う企業は、中小企業から大企業まで、現代では決して珍しくありません。インターネット環境の充実化によって、各国ではグローバル展開がスムーズになり、ビジネスには大きな可能性をもたらされることになりました。
しかし、ビジネスで何らかのかたちで海外とつながりを持つ場合、注意しなければならないのは日本と異なる法規定です。ここからは、GDPRの対象となる日本企業の特徴を整理していきましょう。
主にピックアップできる日本企業の特徴は、次のとおりです。
- EUに支店や子会社などの営業拠点がある企業
- 日本国内からEUへ商品・サービスを提供している企業
- EUから個人データの管理を任されている企業
いずれの企業もEUとの関わりがあることになるため、GDPRの対象になり、違反しないための対応策が必要になると考えられます。では、それぞれの特徴について詳細を見ていきましょう。
1.EUに支店や子会社などの営業拠点がある企業
本拠地が日本でも、EUに支店・子会社・営業所などが存在する場合は、その企業はGDPRの対象になります。本社が日本だと誤解しやすい傾向にありますが、営業拠点がEUにあるということは、EU地域内で何らかの個人データを扱ってビジネスを行うことになるため、本社が日本にある企業でもGDPRの対象内になります。
もちろん、EU域外でデータ処理を施す場合においても、基本的に適用対象外となることはありません。
2.日本国内からEUへ商品・サービスを提供している企業
EU域内に住む人やEU域内に拠点を構える企業などを対象として、商品・サービスを提供している企業もGDPRの対象になるため、注意が必要です。例えば、「EU域内の人を主な顧客としたECサイトを日本で運営している」パターンなどが挙げられます。
なお、この基準は「明らかにEUを対象としているか」という点から総合的に判断されます。例えば、万が一GDPRに違反した場合に「EUを対象としていたわけではなかった」と言い訳しようとしても、Webサイトが英語表記かつ取り扱い通貨がユーロの時点で、ほとんど言い逃れはできないでしょう。
EUから個人データの管理を任されている企業
EUから個人データの管理を任されている企業についても、GDPRの適用対象となる可能性があります。
ここでの「管理」とは、さまざまな意味を持ちます。例えば第三者のオンライン識別情報を利用したターゲティング広告やレコメンド機能なども、言ってしまえばEUから得られる個人データをもとにして事業を行っていることになるため、GDPRの対象になると考えられるのです。
したがって、この3つ目に関しては定義が少々あいまいになっています。「管理」「監視」などの考え方から、自社で行っているビジネスが知らず知らずのうちにGDPR違反に該当するかもしれないリスクについては、判断が難しいところです。
万が一GDPR違反と判断され問題視されれば、現行のビジネスに大きな影響が出るのは明らかでしょう。少しでも該当する可能性がある場合は、念のためGDPR対応策をしっかりと考えたいところです。
GDPRに違反した際の罰則(制裁金)
上記でも解説してきたとおり、GDPRの施行によって個人データの取り扱いがEU域内において厳格化され、それに伴って重い罰則が敷かれるようになりました。罰則、つまりは罰金(制裁金)は決して軽いものではなく、事例によっては日本円で数十億などの額になることもあるのが特徴です。
したがってGDPRについて正しい知識を持つなら、その際には罰則規定についてもよく知っておくことが重要になります。ここからは、軽微な違反の場合と重大な違反の場合、両方のパターンについて具体的な罰金額などをご紹介していきます。
軽微な違反の場合
比較的軽いGDPR違反の場合には1,000万ユーロ(およそ12億円)、もしくは前年売上高の2%が罰金として課せられます。なお、どちらになるのかは金額の大きい方が優先される仕組みです。
日本円ではおよそ12億なので、「軽微」とはいえ相当な罰金になることがわかります。これはもちろん、日本国内で何らかのかたちでGDPR違反が見られた際も例外ではありません。なお、軽微な違反とは次のような事例が該当します。
- 監督機関との協力義務を怠った
- GDPRの要件を満たすうえで技術的な対策を怠った
このようなケースは、ちょっとしたゆるみや怠惰から生まれてしまうビジネス上の欠陥としてよく見受けられます。しかし、個人データはそういったかたちで乱雑に扱われて良いものではなく、管理を厳格化しなければならないことが罰金の大きさからわかります。
権利侵害などの違反の場合
続いて権利侵害などの違反があった際には、2,000万ユーロ(およそ24億円)、もしくは前年売上高の4%が罰金として課せられるようになっています。この場合も軽微な違反の場合と同様に、より金額が高い方が選ばれます。
軽微な違反と比べると、罰金額は倍にもなるため、たいへん重大な違反になることがわかります。最低でも24億円の罰金支払いが必要になるなら、企業の規模によっては破産に追い込まれても不思議ではありません。また、それだけの罰金が課せられるとなれば、世間に大々的に知られることは避けられないでしょう。イメージ・信用の大幅な低下も免れられません。
権利侵害などの違反の場合、主な違反の内容の例としては次のようなものが挙げられます。
- 個人データ処理における原則を守らなかった
- 個人データの取り扱いについて通知・同意の条件を守らなかった
実際にこれまでのGDPR違反の事例では、次のような事例が確認され話題を呼んでいます。
- フランス当局からGoogleへ5,000万ユーロ(およそ63億円)の罰金
- ハンブルク当局からある小売業企業へ3,526万ユーロ(およそ44億円4,000万円)の罰金
- イタリア当局から通信事業の企業へ2,780万ユーロ(およそ35億円)の罰金
また、2020年だけでも罰金総額が日本円で約200億円だったことからも、この規則は単に形骸化したものではないことがよくわかります。GDPR違反と判断されれば、軽い失敗で非常に多くの損失を出してしまうことは間違いないため、少しでも関係のあるグローバル企業やWeb関連企業は注意を払う必要があると言えるでしょう。
GDPRへはどのように対応していくべき?
GDPR違反には非常に重たい罰金が課せられるため、一度でも罰金の対象となれば、企業として立て直しを図ることすら難しくなってしまう可能性があります。このように厳罰化が図られている点も、GDPRが有名になった理由と言えるでしょう。
そのため、日本企業でもGDPRの対象になる可能性がある場合は、具体的に対応策を考えて迅速に実践していく必要があります。GDPRへの対応を考える際のポイントとしては、次のようなことが挙げられます。
- GDPRに準拠した管理フローの明確化
- データ保護責任者による保護強化
- Cookieポリシーの作成
- 個人データが侵害された場合の対応構築
- 適法化根拠に乗っ取り個人データを処理する
以上のような5つの点を意識しながら、個人情報を丁寧に扱い、GDPR違反の対象にならないように対策を徹底していきましょう。
GDPRに準拠した管理フローの明確化
GDPR違反を未然に防ぐには、まずGDPRに準拠した管理フローを明確にする必要があります。あらかじめGDPRについての理解を深め、どのように管理するのが良いのか、ルールを社内で統一することが大切です。
個人データの取得や利用について目的を明示し、その点についてはしっかりとユーザーから同意をもらったうえで運用することが必要になります。
こういった管理フローを少しでも怠ると、それが常態化し、やがては大きな情報事故を起こすことにつながります。その結果、GDPR違反が発覚すれば重い罰金が課せられる可能性があるため、GDPRに準拠した管理フローを社内で策定し皆で対応していくことは忘れないようにしましょう。
データ保護責任者による保護強化
個人データを保管するデータ保護責任者を配置し、管理体制を整えることも重要です。簡単に第三者によって管理している個人データが侵害されたり、内部からの流出行為などが行われたりしないように、保護体制はできる限り万全にしていきましょう。
近年はあらゆる情報端末やシステムからデータの流出・漏洩が見られる時代です。したがって念には念を入れる姿勢をもって、暗号化やアクセス制限などの体制を強化していきましょう。
Cookieポリシーの作成
GDPRでは、Cookieの情報も個人データに該当すると定義づけられています。そのためWebサイトやWebサービスを運用する際には、Cookieポリシーを作成することが重要になります。
Cookieポリシーは、Cookieの取り扱いについて自社の体制・ルールを明示したものです。主に次のようなことの記載が最低限必要になります。
- Cookieとは何か、概要を解説
- ユーザーからの同意を受けてCookieを利用すること
- Cookieの利用目的
- Cookieの保管期間
- Cookieを削除・無効にする方法
サイトやサービスの中にはこのようなCookieポリシーが不可欠になります。
個人データが侵害された場合の対応構築
注意したいのは、万が一個人データが侵害された場合の対応フローをしっかりと構築しておくことです。もしデータの流出や漏洩があった場合、発覚後72時間以内に監督機関に通知しなければ、罰金がより大きくなる可能性があるからです。もっともな理由なく報告が遅れた場合は悪質とみなされてしまいます。
したがって個人データが侵害された際には誰(どこ)に報告すべきかというフローを、あらかじめまとめておくことが重要です。いざというタイミングで対応が遅れるなどの状況を防げます。
適法化根拠に則って個人データを処理する
個人データの処理は、GDPRの適法化根拠に則って行っていく必要があります。GDPRでは、個人データを取り扱う際にはこの適法化根拠の要件を満たす必要があることを示しています。
つまり違法性のある根拠に基づいて個人データを取得や利用、保管を行っていれば基本的に問題はなく、問題なのは適法化根拠なしに個人データを取り扱うことになります。
なお、適法化根拠とは次のものが挙げられます。
- 本人の同意
- 契約履行
- 法的義務の遵守
- 生命に関する利益の保護
- 正当な利益
個人情報を処理する際には、この中のどの適法化根拠に則っているのかを考えることが重要になります。
GDPRを対応する際の進め方の例
GDPR対応を考える際には、現行の情報管理の体制とは大幅に変えなければならないポイントもたくさん出てくるでしょう。その際には「何をどう始めれば良いのかわからない」となることも多いかもしれません。
GDPR対応を考えて安全にビジネスを進めていく際には、以下のようなGDPR対応の進め方のパターンを参考にしていくと良いでしょう。
- 現状の規則とGDPRの乖離部分の洗い出し
- 実施内容の行動計画の策定
- タスクに区切って実行
では、それぞれについて詳細を解説していきます。
現状の規則とGDPRの乖離部分の洗い出し
まず重要なのは、現行の規則とGDPRを照らし合わせ、乖離部分の洗い出しを行うことです。とにかくはじめは、GDPRについて条文の内容はもちろんのこと、事例、違反することで起こりえるリスクやデメリットなど、さまざまな情報を収集して理解を深めましょう。
そのうえで、GDPRに対応するにはどのような点が現在欠けているのか、どのような点でGDPRに違反する恐れがあるのかを見ていくことが重要です。
実施内容の行動計画の策定
ここで例えばCookieポリシーを設けていないこと、Cookieについての知識が欠けていることが問題として指摘される場合は、最終的にGDPR対応をゴールとした場合、どのような行動計画が必要なのかプランニングしていきましょう。
- Cookieとは何か理解を深め社内全体リテラシーを高める
- Cookieポリシーを作成する
- Cookie利用にユーザーに同意してもらうためのシステム作り
このような計画作りが必要になります。
タスクに区切って実行
上のCookieポリシーの例では、それぞれの計画について具体的にどのように動くのが良いのか、最終的には細かい計画を立てて実行していくことが大切です。その際には、わかりやすいタスク単位でスケジューリングや担当の割り振りなどをすると良いでしょう。
GDPRを守るためにツールで抜かりなく対策
GDPRへの対応策としてやらなければならないことはたくさんあります。そのため通常のコア業務を進めながらGDPR対応を進めるには、必要に応じてツールを導入することが重要になります。
近年は多くの企業においてクラウドプラットフォームの活用が盛んになっていますが、せっかくクラウドを活用するなら、GDPRに準拠したセキュリティ水準のプラットフォームを採用するのが望ましいでしょう。セキュリティ体制の見直しや本格的なグローバル展開を始める際には、ツールを活用したGDPR対応策を効率的に取り入れることが大切です。
まとめ
GDPRはEU域内における個人データ保護の規定ですが、近年はインターネット環境を通じて世界中のユーザーに対してビジネスを展開することも珍しくありません。そのため、知らず知らずのうちに自社がGDPRの対象になっていることもあり得るものです。
そして注意したいのはGDPRに定められている厳罰の規定です。国内に拠点がある企業でもEUの個人データを取り扱う場合は、GDPRの規定に則って厳重な個人情報保護が求められる可能性があるため、規則の内容やGDPRに対応するための対策についてはしっかりと目を向けていきましょう。
