日本でも、2017年5月30日に「改正個人情報保護法」が全面施行されましたが、今年5月、欧州圏の個人情報保護に関する保護規制である「GDPR」が施行され、関連企業は対応を迫られています。
今回は、GDPRの概要と対策についてご紹介します。
※今回は各社の対策状況などをご紹介していますが、正式な対応策は専門家の指導の下、誤りがないよう進めるようにしてください。
GDPR (General Data Protection Regulation)とは、個人データとその処理をEU内で統一基準で管理保護するために法的要件を規定したもので、2018年5月25日に施行されました。
日本語では「EU一般データ保護規制」と訳されます。EUには、GDPR以前にも加盟国法としてデータ保護法が存在していましたが、対象をEUから EEA(European Economic Area/欧州経済領域。EU28ヵ国+ノルウェー、アイスランド、リヒテンシュタイン)に拡大し、個人の権利を強化し、法的執行と制裁を増大させることを目的として制定されたのがGDPRです。
GDPRには、個人データの保護に関して厳格なルールが定められており、個人には大きく次の3つの権利が保障されます。
GDPRでは、次の6つを個人データとして定義しています。
また、対象となる個人データの範囲は、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データをとなり、EEA域内の居住者のみならず、短期出張や短期旅行でEEAを訪れている外国人や、EEA域外からEEA域内の拠点へ出向している従業員などの個人データもGDPRに則って保護されなければなりません。
GDPRは、おもに個人データに関する「処理」と「転移」に関して規定した法律です。
以下でそれぞれについて具体的に説明していきます。
(※ここでは主な2つを挙げますが、他にもありますのでご注意ください。)
GDPRにおける処理とは、収集、記録、保管、参照、使用、伝達による開示、削除など個人データに対して行われる操作を指します。処理の手段は、自動・手動を問いません。
たとえば、EEA圏内の見込客のメールアドレスを収集したり、顧客のクレジットカード情報を保存したりといった社外のデータはもちろん、EEA内に拠点を持つ場合は従業員の名前や職務といった個人データに対する処理も含まれます。また、旅行や出張などで一時的にEEAを訪れている人の個人データも対象となります。
GDPRではこれらの処理行為をデータ主体(消費者など)が明確に同意する必要があると定められました。データ主体の同意なしに、上記のような処理を行えば、違反行為に当たります。
転移とは、EEA域内の個人データをEEA域外へ持ち出すことが該当すると思われますが、GDPRで明確に定義されているわけではありません。
基本的に、EEA外への個人データの転移は違反行為に当たります。移転先の国やエリアで適切な保護措置が取られている場合は例外的に適法となります。
なお、2018年6月現在、EEAの政策執行機関である「欧州委員会」によって「適切なレベルのデータ保護措置を講じている」と認定を受け移転が認められている国は、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、イスラエル、マン島、ジャージー、ニュージーランド、スイス、ウルグアイなどです。
EEA内の個人データを明確な許可なく利用した場合など、違反行為に対しては法的執行および制裁がなされます。
個人データを許可なくEEA外へ持ち出した場合の制裁金は、最大2,000万ユーロ(1ユーロ=120円とした場合、26億円)もしくはグローバル売上の4%のうち、高い方の金額、と高額に設定されており、違反した側の企業規模などは考慮されません。企業だけでなく、政府機関やNGOなどが違反した場合も制裁の対象となります。
個人データの漏えいなどが発生した際に通知しなかった場合など、比較的、軽度な違反に対しては、最大1,000万ユーロ(1ユーロ=120円とした場合、13億円)もしくはグローバル売上の2%のうち、高い方の金額、と約半額の制裁金となっています。
GDPRが施行された2018年5月25日、米Facebookとその傘下の米Google 、Instagram、WhatsAppは、早速、プライバシー保護活動を行うNPO「noyb」に提訴されました。
提訴されたポイントは、ユーザーに対するプライバシーポリシーの同意が強制的であるということ。Facebookでは、プライバシーポリシーに同意しないユーザーのアカウントをブロックしており、「同意しなければアカウントを削除するしかないという二者択一が強制的である」という主張です。
とはいえ、GoogleとFacebookが出した声明によれば、両社はそれぞれGDPRの施行に向け18ヵ月間かけて準備と措置を行ってきたといいます。
もちろん、Google、Facebook以外の企業もEEA圏にサービスを展開している企業ではGDPR対策が行われてきました。ここで、その一部をご紹介します。
まずは、日本に拠点を置くグローバル企業「任天堂」のとった対策です。
GDPRの施行を目前に控えた2018年5月16日、「Splatoon(スプラトゥーン)2」のオンラインユーザーに対し、規約変更を理由に再ログインを呼びかけました。
[お知らせ]
— Splatoon(スプラトゥーン) (@SplatoonJP) 2018年5月16日
5月14日のニンテンドーアカウントの規約変更に伴い、『スプラトゥーン2』でオンラインプレイをお楽しみいただく際に、ニンテンドーアカウントの再ログインが必要になる場合があります。パスワードをお忘れの方はこちらの投稿をご覧ください。https://t.co/ZuE3lQRsLC
米国のメディア企業Troncは、GDPRが施行された2018年5月18日から、「Los Angeles Times(ロサンゼル・スタイムズ)」をはじめ、傘下のニュースサイトでヨーロッパの読者からのアクセスをブロックしました。
— Jon Passantino (@passantino) 2018年5月25日
Chicago Tribune & LA Times latest #GDPR casualty. pic.twitter.com/5rsRE6SAka
— Hey Chris ! (@chris_byrne) 2018年5月25日
The Washington Post(ワシントン・ポスト)は、ヨーロッパからのアクセスをブロックする代わりに、閲覧を有料化しました。無料での閲覧では広告表示があったりトラッキングされますが、有料版ではこれらがなくなります。
引用:ワシントン・ポスト、 GDPR 対策のペイウォールを開始:データトラッキング回避に課金
ただし、通常の有料版よりも30ドル(約3300円)も割高に設定されており、この料金が支払えないユーザーはトラッキングを了承するしかなく、GDPR違反である可能性が高いと指摘されています。
それでは、日本企業全体の対応状況はどのようになっているでしょうか?
セキュリティ関連製品を提供するトレンドマイクロが2018年5月17日に公表したGDPRへの企業の対応状況に関する調査によれば、「GDPRについて十分に理解している」と回答したのは全体の1割。さらに、EEA圏内の個人データの取り扱いがあり、「GDPRについて十分に理解している」と回答したうち、「GDPRに対応済み」と答えたのは1割どまりだったといいます。
(引用元:EU一般データ保護規則(GDPR)対応に関する実態調査)
すでにEEA圏に顧客を持ち、ユーザーの個人データを扱う企業では、GDPRへの対策が取られているでしょうが、これからEEAへのサービス展開を検討している企業などがGDPRへの対策を行うにはどのようなフローで行えば良いのでしょうか?
ここでは、一例としてフローをご紹介します。
まず、自社が扱う個人データがどのようなもので、どういった経路で入手しているのか(どういった経路で入手予定か)を把握する必要があります。それらのボリュームと、個人データを扱う予定の拠点数や従業員数なども割り出します。そのうえで、GDPR関連の自社規定を策定する必要があります。
すでにGDPR対応に対応しているグローバル企業のGDPRステートメントを参考に自社の規定を定めましょう。
世界170ヵ国以上で事業を展開するコンピュータ関連企業のIBMでは、2018年5月にGDPR対応の内容にプライバシー・ステートメントを更新しています。
IBMプライバシー・ステートメント
90カ国以上で4,000軒以上のホテルを運営するヒルトン・ホテルズ&リゾート(ヒルトン・ホテルズ・コーポレーション)は、EEAに住む顧客向けに「付録A」という個人情報の使用に関する追加規定を策定しています。
ヒルトン・ワールドワイド・ホールディングス社 グローバルプライバシーステートメント
ビジネストラベルを手がける商船三井系の旅行代理店エムオーツーリストでは、「プライバシー基準-データ保護ポリシー(「本ポリシー」)(ダービー支店&ロンドン営業所)」「法人旅行代理の諸条件(ダービー支店&ロンドン営業所)」とともにGDPR対応の「一般データ保護規則(GDPR)(ダービー支店&ロンドン営業所)」を策定しています。
一般データ保護規則(GDPR)(ダービー支店&ロンドン営業所)
自社規定で定義すべき主な項目を下記に掲げます。
※これがすべてではありません
自社の規定が策定できたら、データ保護責任者(DPO/ Data Protection Officer)を置き、社内体制を整備します。
GDPRでは、以下の4つに該当しなければDPOの設置が義務づけられているわけではありませんが、GDPR 関連業務をスムーズに行うためにも明確な責任者がいた方が良いので、DPO設置が望ましいでしょう。
現状、提供しているサービスがユーザーのメールアドレスや氏名などの個人情報やクッキーを取得しており、今後も取得を続けていく場合は、オプトイン(個人情報取得に対する許可に応じること)やポップアップ表示などで個人データ、クッキー取得を明確な許可・同意をもらうフローに改修する必要があります。
ユーザーが個人データ取得に関して「はい」か「いいえ」を選択できるようにするほか、たとえばセミナー参加など、一時的な情報利用のケースでは、セミナー開催後の個人データ削除を希望するかを尋ねるフォームを用意し、アクション後にすみやかに削除する仕組みを作ります。
GDPR対策を全社的に行うためには社員全員がGDPRとGDPR対策について理解している必要があるため、研修など教育を行う必要があります。
個人データを扱う部署に対しては特に重点的に行う必要があるでしょう。
GDPRでは、個人データが侵害されるインシデントが起きた際、72時間以内に監督機関へ報告することを義務づけています。ただし、インシデント発生から72時間ではなく、インシデントの可能性を認知した時点から72時間とされています。報告が72時間を過ぎた場合も違反とみなされ制裁がとられます。
日本で起きているインシデントが、実際にサイバー攻撃を受けてから気づくまでに数ヵ月かかっている例も多く、72時間ルールはハードルが高いといえます。
インシデント発生時のフローを見直し、改善して備える必要があります。
なお、報告先の監督機関はEU加盟国に設置されており、連絡先が下記ページに掲載されています。
Data Protection Authorities(European Commission/欧州委員会)
GDPRの施行を経て、これまではクッキーを含む個人情報の提供により無料で提供されてきたネットサービスは大きく変容を迫られそうです。
今後のネットサービスは、どのように変化していくでしょうか。
まず考えられるのが、リターゲティング広告を手がける企業を中心に、アドテク(広告技術)ベンダーが困難に直面して対応を迫られ、対応しきれなければEEAから撤退を余儀なくされるということです。
日本でも、違法性はないもののサードパーティーのクッキー(バナー広告を配信している企業からユーザーに送られるクッキー。ユーザーがWebサイトを訪れたわけではない企業に閲覧情報が蓄積されてしまうことからこう呼ばれる)は、プライバシーを侵害ではないか、という議論がありましたが、GDPRの施行により、EEAからのアクセスについてはサードパーティーも承諾を得なければクッキーの発行ができなくなります。
しかし、閲覧しているWebサイトからならともかく、サードパーティーからもいちいちクッキーの承諾を求められては、ユーザーが煩わしさを感じるのは必至です。この問題をクリアするのは簡単ではないでしょう。
バナー広告の出稿費や、クッキーを含むユーザーの個人データを収集・販売することで利益を得て、ユーザーにはその見返りとしてサービスを無料で提供していたメディアはGDPR施行により、ビジネスが成り立たなくなります。
そこで、サービスの利用者に正当なサービス対価を求めるようなビジネスモデルに転換される可能性があります。GDPRでは、ユーザーが個人データの提供に同意しない場合も、サービスを提供するよう規定されているため、有料化の流れは当然のことかもしれません。
有料化によりネットサービスがよりユーザーニーズに沿ったたものになっていくと考えれば、ネットサービスがあるべき姿へと変わっていく良い傾向だともいえます。
GDPRへの対応は、ヨーロッパの法規制であることや制裁金の高さなどから、難しいものだと捉えられがちですが、日頃からユーザーファーストで個人情報保護に取り組んできた企業にとってはあたりまえの考え方にもとづくものでしょう。
法規制に引っかからないようにと最低限の対策のみするのでは、今後、法改正のたびに対策を迫られることになります。個人情報保護をユーザーとのよりよい関係づくりと捉え、本質的に取り組んだところが、長い目で見たときに安定的に勝ち残れるのではないでしょうか。