Cookie活用の規制やユーザの個人データの収集や利用に関する同意取得の義務化など、GDPRはインターネットを通じたビジネスを展開する企業に対し、多大なる影響を及ぼしています。
GDPRは、EU域内で施行されている法律ですが、日本国内に拠点を持っている企業も無関係ではありません。顧客や従業員がEU域内に居住しているケースや、EU域内からEU域外へのデータのやり取りが必要なケースでは、GDPRを遵守した対応が必須となります。
一方で法令や規則を正しく理解し、実際のシステムや企業のオペレーションに落とし込むためには、多くの専門知識や経験値が必要です。
この記事では、日本企業がGDPRに対応する必要がある理由や対応を実施するためのステップをわかりやすく紹介します。
日本企業でも対応が必要?GDPRの規則をおさらい
GDPR(General Data Protection Regulation:一般データ保護規則)は、EU域内のすべての個人データの保護やその取扱いを定めた法令であり、1995年から適用されていた「EUデータ保護指令」に代わり、2016年4月に制定、2018年5月から施行されました。
GDPRがどのような規則であるのか、まずは把握しましょう。
GDPRが保護するデータとは?
GDPRをひとことで表現すると、「EU域内の個人データの処理と移転を規定した法令」と表現することができます。GDPRで定義されている「処理」と「移転」という概念がGDPRを理解する上で重要なポイントとなっています。
処理
自動的な方法か否かに関わらず、個人データに対して行われる操作や作業を指しています。具体的には、取得、記録、編集、構造化、保管、修正、変更、復旧、参照、使用、送信による開示、周知、整列または結合、制限、消去または破壊することをいいます。
処理の例としては、以下の通りです。これらは、EU域内のすべての個人データを対象としており、EU域内の事業者でだけではなく、EU域外の事業者にも適用されます。
・クレジットカード情報の保存
・メールアドレスの収集
・顧客の連絡先情報の変更
・顧客の氏名の開示
・上司の従業員業務評価の閲覧
・データ主体のオンライン識別子の削除
・全従業員の氏名や社内での職務
・事業所の住所
・写真を含むリストの作成 など
移転
GPDRに具体的な定義はされていませんが、EU域外の第三国の第三者に対して、EU域内の個人データを閲覧可能にするためのあらゆる行為が該当するとされています。具体的には、個人データを含んだ電子形式の文書を電子メールでEU域外に送付することは、この「移転」に該当します。
【出典】:「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
GDPRが定めるデータの定義
GDPRでは、データ主体、データ管理者、データ処理者(復処理者を含む)の3つの立場が定義され、その権利や義務が規定されています。
・データ主体
GDPRでは、特定されたまたは特定可能な自然人に関する情報を「個人データ(Personal Data)」と定義しています。その自然人を総称し、データ主体(Data Subject)としており、データ主体が個人データ保護を定めたGDPRの権利主体となります。
データ主体が、自身の個人データの利用について同意し、自身の個人データの削除を要求します。
・データ管理者
GDPRでは、データ管理者が個人データの処理に関する規定を遵守する責任と規定を遵守していることを証明する義務を負うとしています。データ管理者は、個人データの処理の目的および方法を決定します。企業や公的機関、もしくは個人の場合もあります。
・データ処理者
データ処理者は、データ管理者に代わり、個人データの処理を行う主体のことをいいます。企業や公的機関、もしくは個人の場合もあります。データ管理者とデータ処理者は一致することもあります。例えば、個人データの処理に関する何等かの業務を外部委託する場合では、委託先がデータ処理者、委託元がデータ管理者に該当します。
EU域内に会社の支店がある、EU域内を対象にしたWebサイトを公開しているなどのケースは、GDPRの適用対象となります。自社のビジネスがGDPRの適用対象となるかどうかをまずはしっかりと把握しましょう。
GDPRが定める規則についてはこちらの記事でも詳解しています。併せてご覧ください。
【関連記事】:GDPRがWebマーケティングに与えた影響は?情報収集を諦めない方法を考察
GDPRへの対応を進めるためのステップ
保有する個人データの量や種類、GDPRの適用対象となるサービスやその適用範囲は、企業によりさまざまであり、検討すべき内容や規模感はおのずと異なります。
ここでは、共通する基本的なステップについてご紹介します。
個人データとは?
GDPRで保護対象となっている個人データとは、具体的には何が該当するのでしょうか?GDPRにおける個人データの範囲は、日本の個人情報保護法と比較すると概念がより広く定義されています。
「個人を識別されうる情報」についても、保護対象である個人データと定めている点に留意が必要です。例えば、下記のようなデータが個人データに該当します。
・氏名
・識別番号(社会保証番号など、個人を識別できるもの)
・所在地データ(GPSや位置情報等)
・メールアドレス
・オンライン識別子(IPアドレス、Cookie、ログインID、携帯端末の個体識別番号等)
・身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因
自社が収集する個人データの把握
GDPRの対象となる事業やサービスを明確にしたら、次はどのような個人データを保有しているのかを確認します。ここで重要なのは、サービスを提供している顧客の情報のみならず、自社の社員や委託先、取引先の情報も保護対象となる点です。
具体的には、以下のケースに該当する場合、GDPRの適用対象となります。
・グローバルサイトを公開、EU域内からWebサイトへの訪問が発生している企業や団体、個人
・EU域内に商品やサービスを提供している企業や団体、個人
・EU域内に子会社や支店、営業所、事業所などを展開している企業や団体、個人
・EU域内から個人データの処理の業務委託を受けている企業や団体、個人
該当する個人データが何で、どのような内容のデータをどのような方式で収集し処理しているのか、データの発生元と転送先、最終的な保管場所はどこなのか、まずはデータの流れに沿って整理してみましょう。前述した「処理」と「移転」の状況を各プロセスの単位で把握しておくことが重要です。
GDPRには、日本の改正電気通信事業法のような、規模の大小による例外措置がありません。
GDPRの適用対象となる場合は、まず自社が取り扱っている個人データを整理し、棚卸を進めることが大切です。そのうえで、GDPRを遵守する際に問題となる点や課題の現状を明確にし、ひとつずつ解決していきましょう。
日本企業が実施したいGDPRへの対応
自社がGDPRの適用対象であることが明確になった場合、具体的にはどのような対応が必要となるのでしょうか?ここでは、グローバルサイトを公開していて、EU域内からWebサイトへの訪問が発生しているケースを例に代表的な対応のポイントを見ていきましょう。
個人データの利用目的を整理
収集した個人データの利用目的を明確にし、それが適法かどうかを確認します。
マーケティングや商品の発送、カスタマーサポートなどの利用目的を整理し、それぞれに必要なデータが適切に管理されているかを確認します。
プライバシーポリシーの整備
プライバシーポリシーなどの公表文書を見直し、個人データの取り扱いに関する説明が十分で、かつGDPRに準拠しているかを確認します。データ保護方針やデータ主体の権利保護は重要な要素であり、GDPRに違反する内容になっていないかチェックします。
見直しを実施した後、ユーザが理解しやすい言葉で明記し、アクセスしやすい場所に掲載しましょう。ユーザへ公開するポリシーとして活用することで、ユーザが個人データの利用に同意するための提供情報としても機能します。
プライバシーポリシーに沿った運用の構築
プライバシーポリシーに従った適切なデータ管理やデータの取扱いを全従業員が確実に実行するための仕組みや運用、体制を構築します。また、データ保護が適切に行われていることをチェックする仕組みを整えます。データ管理者は、データの管理や保護が適切に行われていることを証明する義務を負うためです。
どのようなデータを収集しているのか、その目的は何か、どこにデータは保管されているのか、データの管理は適切になされているか、またどのように証明できるか、などの観点で検討し、対応を進めましょう。
ユーザの同意を得る仕組みの実装
GDPRでは、データ主体が自身の個人データに対して、さまざまな権利を有しています。個人データの収集に際して、その利用目的を明示し、ユーザからの明確な同意を得る仕組みを実装します。
ウェブサイトでクッキーを使用する場合、ポップアップなどで利用目的を通知し、ユーザが同意ボタンをクリックできる環境を用意するなどの対応を行います。また、一度した同意をいつでも撤回できる仕組みの実装も必要です。
ユーザから削除等のリクエストを行える仕組みの実装
GDPRでは、ユーザに自分のデータを削除したり、訂正したりする権利(忘れられる権利)を保障しています。ユーザが自分の個人データに関するリクエストを簡単に行える仕組みを実装し、迅速かつ適切に対応できるシステムや体制を整えます。
Webサイトに関連する重要な対策としては、「個人データの取扱いポリシーを明示する」「ユーザがデータの取扱いに同意する」「ユーザの要求により、データをすみやかに削除する」の3点がポイントと言えます。
Webサイト運営におけるGDPR対策のポイントは以下の記事でも詳解しています。
合わせてご参考下さい。
【関連記事】:適切なGDPR対策で万全なWebサイト運営を実現するポイントとは?
日本企業がGDPRに対応し、違反リスクを最小限にする方法
ここまで見てきたように、GDPR対応は例え日本企業であっても、必要となるケースが数多くあります。しかし、GDPRへの対応を計画し、実際に運用やシステムへ落とし込むためには、対象範囲が広ければ広いほど、多くのリソースや相当の時間が必要です。
GDPRの各規定を解釈し、自社のビジネスに合わせた実装を進めるためには、EU域内で施行されている法律であっても、深く理解する必要があります。専門的なコンサルティング事業者やシステム事業者ではない多くの企業では、適切にGDPRに対応するためのハードルが極めて高いのが実情と考えられます。
システムに関して言えば、「GDPR対応済みの外部サービスを活用する」ことは、ひとつの現実的な選択肢となります。全体的なポリシーの設計後、システムの設計や実装については、サービスの提供事業者によって、GDPRに準拠した形になっているものを選定することにより、定められた利用方法に沿って運用すれば、自社のシステムをGDPRに対応したものにできます。
RTmetricsでは、標準機能でGDPRへの対応が可能な仕組みを備えており、規制が強化されているサードパーティクッキーに依存しないアクセス解析やWebサーバのログやパケットキャプチャによる多様なデータ収集機能を利用できます。
GDPR対応後のシステム実装に課題をお持ちの企業の方は、ぜひご検討ください。