最近、「このホームページではCookieを取得・利用します」という注意書きを、ホームページで見たことはありませんか?

実は、こうした注意書きは、EUで施行されるGDPRと呼ばれる法律を意識したものです。「わざわざご丁寧にお知らせしてくれた」と他人事のように思うかもしれませんが、実は日本の企業も知っておいたほうがいい情報なのです。

そこで今回は、EUで施行されるGDPRと日本の企業も知らなきゃ損するホームページのプライバシー保護についてまとめていきます。昨今、情報セキュリティに関してはかなりセンシティブになっているので、改めて個人データの取り扱いについて確認してみましょう。

「GDPR」とは?

fb.jpg
イメージ画像 / BURST

GDPRとは、「General Data Protection Regulation」の略で、「一般データ保護規則」と呼ばれるEUで制定された個人情報保護に関する法律です。日本でも快晴個人情報保護法が施行されたように、ヨーロッパでもGDPRがいよいよ2018年5月25日に施行されます。

この法律が施行される背景には、インターネット上での個人情報の不正利用が問題になっている点が挙げられます。

2018年3月には、イギリスのEU離脱やアメリカのトランプ政権誕生を影で支えたと言われるコンサルティング会社ケンブリッジ・アナリティカがFacebookユーザーおよそ8700万人分の個人情報を不正利用していたことが明らかになりました。

日々、オンライン上でさまざまな個人情報が送受信されていますが、GDPRはこうした個人情報を保護するために制定されました。端的に言えば、個人データの「処理」と「移転」に関するものとなります。

参考:
フェイスブックのデータ不正共有疑惑「8700万人に影響」 - BBCニュース

GDPRは日本企業にも関係あるの?

japan.jpg
イメージ画像 / Unsplash

日本でもGDPRが注目されている背景には、GDPRが単なるEU加盟国だけの法律だという訳ではなく、日本企業にも大きく関係してくるからです。

GDPRでは、法律の対象を、情報に紐づく個人である「データ主体」、個人データ処理の目的や手段を決定する「管理者」、管理者を代行して個人データの処理を行う「処理者」に分けています。グローバルなビジネスを展開している場合や、顧客にEU在住の個人が含まれている場合は、日本でもEUの個人情報を扱う可能性があるので、対応が迫られています。

情報センサーによれば、とりわけGDPRの影響を受ける対象企業は、以下の場合となります。

(1) EUに子会社や支店、営業所などを有している企業
(2) 日本からEUに商品やサービスを提供している企業
(3) EUから個人データの処理について委託を受けている企業

GDPRに従わない場合、高額な罰金が課せられることがあります。例えば、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が適用されます。2000万ユーロは、1ユーロ=120円とした場合、日本円に換算すると26億円にものぼります。

また、日本国内でも個人情報保護法が改正され、2017年5月30日から全面施行されています。日本企業が積極的にビジネスをグローバル展開するためには、個人データを適切に管理し、日本の法律とGDPRの両面で自主的に対応することが必要となります。

参考:
GDPRって何? 日本の企業への影響は?|大塚商会
EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項|情報センサー(PDF)