AROOM

2023.02.19

【GDPRって何?】個人情報保護法に関係ある?日本企業はどう対応すれば良い?

はじめに

こんにちは。A-ROOM編集部です。
本記事にアクセスいただき、ありがとうございます!

みなさまお休みはどのように過ごされましたか?
筆者は旅行が好きなので、コロナ前は国内外いろんなところに行っていました。

ここ数年はステイホームですが、
状況が変わればまたワクワクの旅に出たいですね。

ということで、今回は海外へ思いを馳せてみたくなり、
EUの個人情報保護に関する規則についてご紹介します!

他人事ではいられない「GDPR」について

2018年5月にEUで施行された個人情報保護に関する規則「GDPR」
「EUの規則だから日本企業には関係無い」と言ってはいられません。

いまやサービスは、グローバルに展開することが多くなってきています。
そのため、外資系企業・海外向けサービスを扱う企業さんは知っておく必要があります。

こんな内容をご紹介します

GDPRとは具体的にどういった規則なのか、日本企業にどういった影響、どのような対応をしなければいけないのかをご紹介していければと思います。

目次

  1. 個人情報保護のための規則
  2. 定義されている個人データとは
  3. 日本企業に影響を及ぼすのはなぜ?
  4. 日本企業が取るべきGDPRへの対応
  5. まとめ
  6. 新着記事

GDPRは個人情報保護のための規則

正式名称は?

GDPRは「General Data Protection Regulation」の略で、
日本語では「一般データ保護規則」と言われています。

対象エリアは?

EU加盟国にアイスランド・ノルウェー・リヒテンシュタインの3か国を含めた
EEA領内に所在する全個人のデータがGDPRの保護対象となります。

他国の個人情報保護の規則に比べて内容が非常に厳格で、
罰則も厳しいということで有名です。

GDPRで定義されている個人データとは


一口に個人データと言っても多岐に渡りますが、GDPRでは
「個人を特定・識別できうるデータ」は全て個人データとして定義されています。

具体的には?

  • 氏名
  • 住所
  • メールアドレス
  • 識別番号(日本のマイナンバーに当たるもの)
  • 位置情報
  • クレジットカード情報
  • パスポート情報
  • オンライン識別子(IPアドレスやCookie)

などがGDPRで定義される個人データとなります。

氏名や住所、メールアドレス、識別番号、クレジットカード情報、パスポート情報などは
日本でも高度な個人データとして認識されているので問題ないです。

個人を特定できない情報も規制対象

問題は「オンライン識別子」で、日本ではIPアドレスやCookieといった
オンライン識別子は単体だと個人データと認識されていません。

ただIPアドレスやCookieと他のデータを組み合わせることで個人が特定できる
可能性があるため、改正個人情報保護法ではオンライン識別子も規制対象です。

GDPRではオンライン識別子単体も個人データとなっているため、
個人が特定できる他のデータを持ち合わせていなくても
厳重に取り扱わないといけません。

EUの規則が日本企業に影響を及ぼすのはなぜ?

EEA領内に顧客がいる場合は全て対象になる

EUの規則であるGDPRが日本企業にも影響を及ぼすのは、
EEA領内に所在する全個人のデータが保護対象となっているからです。

たとえば?

一番わかりやすいのはEEA領内に支店や支社があって地元の人を相手に
商売をしている場合です。

EEA領内に支店や支社があってGDPRを知らないことは無いでしょうから、
このケースは既にしっかり対応しているのではないでしょうか。

EEA領内外でも要注意

支店や支社がある以外にも、EEA領内にある企業から個人データを含む
データ処理や管理の業務を請け負っている場合もGDPRの影響を受けます。

いくら日本国内でしか作業を行っていなくても、
取り扱うデータがGDPRの保護対象である以上はGDPRへの対応が必要です。

日本で海外向けに展開している場合

一番見落としやすいのが、日本国内からEEA領内に所在する人や企業に対して
サービスや商品を提供している場合です。

オンラインショップを開設していて、
顧客にEEA領内に所在する人が居るならGDPRに対応していなければいけません。

顧客にEEA領内に所在する人が居なくても、EEA領内でショップページが
閲覧できる以上はGDPRに対応しておく必要があります

日本企業が取るべきGDPRへの対応

まずは所有個人データの把握

GDPRに日本企業が取るべき対応としては、
まず自社が所有している個人データを全て把握してしっかりと管理することです。

どのような個人データを所有していて、それをどのような目的でどのようなことに
利用していて、どのように保管しているのかを把握しましょう。

利用期間やアクセス権の確認

不要になったり利用期間が過ぎたりしているデータを消去しているか、所有している
個人データに社内の誰がアクセスできるのかも確認しておくと良いですよ。

情報漏洩時の方針設定

所有する個人データの全体が把握できたら、不正アクセスなどによって万が一
情報漏えいが発生した場合の対応についても方針を決めておく必要があります。

セキュリティ強化

不正アクセスやサイバー攻撃を受けないようにセキュリティを強化すること、
不正アクセスなどを受けても早急に感知できるようにしておくことも重要です。

個人データの暗号化

万が一情報漏えいが発生しても被害を最小限に抑えられるよう、
所有している個人データは全て暗号化しておかないといけません。

プライバシーポリシーの改訂

プライバシーポリシーをGDPRに対応した内容に改訂する必要もありますし、
ホームページはCookie使用に対する同意を得られるようにしておきましょう。

ユーザーからCookie同意をもらう

ホームページにアクセスした時にポップアップなどでCookieを使用することを伝え、
Cookieを使用することに同意してもらえるようにしておく必要もあります。

一部使用のみ同意やCookie使用を拒否できるといった選択肢、
いったん同意しても後から拒否できる仕組みなども用意しておくと
よりユーザーに寄り添った対応と言えます。

まとめ

GDPRはEUの個人情報保護に関する規則ですが、
グローバル化している現在では日本企業にも無関係ではありません。

違反した場合の罰則とは?

軽微な違反でも最低1000万ユーロ(約12億円)の制裁金が課される厳しい規則で、
実際に日本円にして200億円を超える制裁金を課された企業もあります。

2018年5月にすでに施行されている規則ですから、
まだ対応していないのであればすぐにでも対応するようにしてください。

GDPRに関するポップアップ表示など不明点があれば、
ぜひお近くのWebサイト制作のプロに相談してみてくださいね。

新着記事

Web制作に必須な施策とは?

【2022年】3分でわかる個人情報保護法改正!Web制作に必須な施策とは?

違反した場合の罰則とは?

【2022年】個人情報保護法改正!違反した場合の罰則とは?改正6つのポイント

Googleアナリティクスの歴史を紹介

【ちょこっとトリビア】GA4の「4」とは?アナリティクスさんの歴史を添えて

当社の実績はこちら

ホームページ制作会社 株式会社エーウイングの制作実績
SEO対策・集客でエーウイングができること

ここまでお読みいただき、誠にありがとうございました!

今後も多摩地域・立川にあるホームページ制作会社として地域の皆様、 ホームページに関わる皆様に向けてお役に立てる有益な情報発信ができるよう努めて参ります。

BACK TO ARCHIVE AROOM

CONTACT

お見積り依頼、Web制作について

お見積り依頼や制作のご相談など
フォームよりお気軽にお問い合わせください。

お問い合わせはこちら

DOWNLOAD

会社案内・実績ダウンロード

実績などまとめた資料をPDFでご準備しております。
ご自由にダウンロードください。

ダウンロードはこちら