ゼロから覚えるGDPR 日本企業への影響は?有効な対策は?

貿易コラム
この記事は約11分で読めます。

2018年5月25日、世界で類を見ないほど強力で厳格な個人情報に関する法律が施行されました。GDPR(General Data Protection Regulation)/一般データ保護規則です。

GDPRは、欧州域内(以下、EEA)で収集した個人情報の収集や管理などを厳格にしている法律であり、この法律を守るべき企業は、全世界です。主なターゲットは、ITジャイアン達だといわれています。しかし、日本政府やジェトロなどでも大規模なセミナーを開催しているところを見ると、どうやら日本企業にも大きな影響がありそうです。

さて、日本企業へは、どのような影響があるのでしょうか? そこで、この記事では、知識ゼロの人でもGDPRの基本事項をまとめてご紹介していきます。この記事を参考にして、まずは貴社がGDPRへの対応が必要がどうかをご判断いただければと思います。

欧州発!GDPRとは?

GDPRとは、EEA内(ヨーロッパ圏)で収集するあらゆる個人情報を規制の対象にして、管理・運営・取り扱いを厳格にするための法律です。ここでいう個人情報とは、EEA(ヨーロッパ)域内に所属するすべての人の個人情報(国籍などとわず)です。この法律の大きなポイントは、EEA内であれば、人種、国籍、居住地などを問わない点です。

例えば、個人情報には、名前、メールアドレス、クレカ情報、身体的な情報(身体アプリを通した収集など)、従業員のプロフィール(現地で人を雇うときに閲覧することになる履歴書など)、位置情報などがあります。企業などは、これらの個人情報を収集するときは、収集目的や適切な保管、開示請求、削除依頼に応じることが求められます。それだけではありません。個人情報の移転にも注意が必要です。

個人情報移転の定義と注意点

GDPRでは、EEAで収集した個人情報をEEA域外(以下、第三国)に持ち出すことを原則的に禁止しています。この域外とは、後述する「十分性認定を受けていない国」を指します。もし、あなたの会社がヨーロッパに営業所や工場などを設けているとき、または、ヨーロッパに出張などをさせて営業をしているときは、要注意です。

例えば、日本に本社、ヨーロッパに支店があるとします。この場合、ヨーロッパの支店で集めた個人情報を日本の本社に送付してもよいか?ということです。また、自社が開発したアプリを通してヨーロッパから情報を収集することはいかがでしょうか? 実は、どちらの場合であっても「移転」の定義に当てはまり、GDPRの域外移転の対象に含まれます。

持ち出しの例:顧客情報の送付(文書、Eメールなど手段は問わず)、ヨーロッパで採用した人の履歴書を域外でみることなど。

GDPRによって、企業は、個人情報を保護するための体制の構築が求められています。一方、個人は、個人情報に関する主権を持つことになり、対企業に対して「削除権(忘れられる権利」を行使ができます。GDPRは、企業に対して強力な制裁金を課す仕組みであるため、非常に実効性が高いです。

主なポイント

  • 個人の情報に関する主権が明確に定義されています。
  • 適用範囲が非常に広いです。
  • 全世界の企業が対象です。
  • EEA域外に持ち出すことを原則的に禁止しています。
  • GDPRに違反すると強力な制裁金がきます。

日本企業への影響は?

GDPRは、これまでの個人情報よりも強力な法律です。企業として気になることは、やはり自社がGDPRの対象になるのか?だと思います。どのようなケースでGDPRの対象になるのかをご紹介していきます。その前に、まずは、GDPRに関する基本ワードを2つほどご紹介します。「1.十分性認定」と「2.SSC」です。

1.十分性認定とは?

GDPRによると、EEA域外の第三国に個人情報を移転するときは、移転先の国で「十分な保護措置をしている」と認定されることが必要です。この認定が「十分性認定」です。

2018年現在、カナダ、スイスなど11カ国のみが認定を受けています。(日本は認定外=現在、交渉中です)そのため、原則的に、日本に対して、個人情報などを持ち出すことはできません。しかし、もちろん、これは原則的なお話であり、SCC(標準的契約条項)を結ぶことにより、個人情報の移転が可能です。

2.SCC(標準的契約条項)とは?

SCCとは、個人情報の管理者などを設定し、個人情報の厳格な管理を書面を通じて行うことです。

例えば、ヨーロッパにある支店で収集した個人情報を日本の本社へ送るとき(電子的に状態にすることも含む)には、支店と本社間でSCCを結び、個人情報の厳格な管理をしていることを確認しなければなりません。同じ会社の親子間であっても、このSCCを締結していることが求められます。

以上の2つの基本事項を頭に入れながら、以降を読み進めてください。

GDPRに関係する可能性があるケースは?

GDPRと聞いてもすぐにピンと来ない方も多いはずです。どことなく「自分は関係ないのでは?」と考えてしまう方も多いはずです。そこで、ここでは、GDPRに関係する可能性が高い具体的なケースを例示していきます。もちろん、これ以外にも存在すると思いますが、必要に応じて外部専門家に相談されるといいと思います。

ケース1.ヨーロッパに駐在員を派遣しているとき

ヨーロッパに支店がないもの、自社の社員をヨーロッパなどへ派遣していることはありますね。この駐在員による個人情報の収集(顧客氏名などを含めて)についても、GDPRの対象です。収集した情報を無断(SCC未締結)で持ち出し、日本本社に伝えることなどは禁止されています。

ケース2.ヨーロッパに支店があるとき

ヨーロッパに何らかの営業拠点があるときも当てはまります。この営業拠点には、オフィスワークの拠点はもちろんのこと、現地工場なども対象です。

例えば、これらの拠点の中でEEAに居住する人を雇い採用するとします。当然、採用するとき、または採用後も従業員の個人情報を見る機会があります。このとき、その個人情報の閲覧がEEA域内でおこなわれているときは、GDPRの域内規制の対象です。それが日本の本社でも行われるときは、GDPRの域外適用の対象です。

ケース3.インターネット上でサービスや商品を提供しているとき

ヨーロッパなどで営業拠点を設けておらず、EEA域外(日本など)から、直接、サービスや商品を提供するときも適用されます。

例えば、ヨーロッパ向けに物販を行っているときは、当然、お客さんの情報が手に入りますね。また、自社でアプリなどを開発していて、それをヨーロッパで提供しており、それらのアプリを通して何らかの個人情報を収集しているときなども考えられます。これもすべて個人情報となり、GDPRの域外適用の対象です。

ケース4.インターネット上で情報発信をしているとき

直接的なサービスや商品を提供するだけではありません。EEAに向けて何らかの情報発信をしているときも注意が必要です。実は、GDPRでは、インターネット上における個人情報(クッキーなど)も規制の対象にしています。

例えば、サイトを運営しているときにお世話になることが多いグーグルアナリティクスなどには注意が必要です。グーグルアナリティクスを導入すると、どのようなキーワードによってサイトに流入しているのか?、どこのページから流入しているのか? または、アクセスした顧客の年代などの情報を収集することができます。

つまり、自社のサイトにグーグルアナリティクスなどを導入している。それがヨーロッパからの閲覧がある時点で、自動的に情報を収集していることになり、GDPRの域外適用の対象です。とても幅が広いことがわかりますね。

ケース5.インターネット上で情報を収集するとき

ウェブサイトを導入する目的のひとつに、見込み客からの問い合わせを獲得することがあります。この問い合わせを獲得するための仕組みにも注意が必要です。

例えば、ワードプレスであれば、コンタクトフォームなどによって、問い合わせを受ける機能を簡単に実装できます。実は、このような問い合わせを受ける機能も、GDPRの域外適用の範囲に当てはまります。顧客の個人情報を入力するフォームと併せて、個人情報保護に関する「オプトイン(同意)」を得るためのチェック事項を導入する必要があります。

以上の5つのパターンが考えられます。もちろん、これ以外のパターンもあるかと思いますが、要は、どのような場所、方法であっても、EU域内の個人情報にタッチするときは、GDPRの規制対象になるということです。この基本部分がわかっていれば、その他のケースにおける判断もしやすいと思います。

GDPRをやぶるとどうなるの?

経費倒れ

これまでの説明で、いかにGDPRが広い範囲をカバーしているのかがお分かりいただけたかと思います。「うちは輸出とか、海外のこととか一切やっていないから関係ない」と考えていたとしても、例示の4番で示した通り、サイトを運営している以上、絶対関係しないとは言えません。では、仮にGDPRを破ると、どのようなペナルティ(制裁金)を受けるのでしょうか?

なんと、企業規模の大小にかかわらず、最大で2000万ユーロまたは、世界売上高の4%のどちらが高い方です。つまり、20億円か、それ以上を支払うことになるのです。この制裁金の高さをみただけでも、GDPRの影響力がお分かりいただけるはずです。中小企業であれば、GDPRの制裁をくらった時点で、すぐに吹き飛んでしまいますね。だからこそ、GDPRを深く理解し、適切な対応が必要になるのです。

制裁金:最大で2000万ユーロまたは、世界売上高の4%

あなたの会社は大丈夫!? 簡易チェックリスト

GDPRの概要と、それにまつわる大きな制裁金をご紹介しました。ここから先は、自社がGDPRに関係するのか?や、具体的な対応例などをご紹介していきます。

簡易チェックリスト

貴社がGDPRに関係するのかどうかを簡単に判断できるようにチェックリストを作成してみました。もし、これらの内、いずれか一つに当てはまる場合、多かれ少なかれ、GDPRに関係する可能性があります。特に海外の支店(営業所や工場)などを有している所は、完全にGDPRの適用対象になるため、十分な対応が必要です。

GDPR チェックリスト

日本企業の対応例

輸入代行のメリット

これまでの説明でGDPRの概要や基本的な考え方などをご理解いただけたかと思います。実は、GDPRは2018年5月25日現在で施行されているため、まだ何も対応していない方は、なるべく早くGDPRに関する情報を収集した方が良いです。また、必要であれば、GDPRのコンサルタントに依頼することも一つの手です。わずかな相談料をケチルほど、愚の骨頂はありません。

ここでは、GDPRに対して、日本企業は、どのような対応をしているのか?をご紹介していきます。主な対応方法としては、ヨーロッパへのサービス提供や情報提供をやめる。または、ヨーロッパからの顧客をすべてブロックするなどがあります。

例えば、ウェブサイトであれば、ヨーロッパ方面からのアクセスをすべてブロックすることなどができます。あなたの会社を管理している会社に「ヨーロッパからのIPアドレスをすべてブロックしたい」と伝えれば、簡単に導入できます。.htacceseというファイルに記述を加えるだけであるため、ヨーロッパのIPアドレスさえわかれば、小一時間で導入も可能です。

また、宿泊施設などを営んでいる人であれば、ヨーロッパ方面からの新規顧客を受け付けないなどの対応をしているところもあるそうです。どちらの方法もヨーロッパに住む人をすべて拒否することによって対策します。ただ、どちらの方法も消極的な対応であるため、ビジネス上はNGですね。そこで、ここでは、その積極的な対策案をいくつかご案内したいと思います。

ケース1.自社のウェブサイトで何らかの個人情報を入力させるのであれば?

自社のサイトで顧客からの反応を得るためのページを設置しているときは、まずはサイト全体を「SSL化」してみましょう。SSLとは、セキュリティ性を高めた方法によってアクセスできる仕組みのことです。これを導入すると、サイト全体が「https」となり、サイト利用者の安心につながります。ちなみに、hunadeもsslを導入しているため、httpではなく、httpsでつながるようになっています。

このhttpsと併せて、サイト内に「プライバシーポリシーページ」などを導入するようにします。プライバシーポリシーとは、どのような目的で個人情報を仕入れているのか?また、仕入れが情報をどのように管理しているのか?などを明示するためのページです。これをサイト内に設置します。それだけではありません。

実際に顧客の情報を収集するページ(お問い合わせページなど)には、オプトインを受ける仕組みを作っておきます。オプトインとは、~○○に対して同意することを言います。よくお問い合わせフォームなどに個人情報を入力すると、最後に「個人情報に関するチェックボックス」があるはずです。この機能のことをオプトインと言います。これを貴社のサイトにも導入します。

ケース2.現地に営業所や工場があるときは?

この場合は、現地における営業所や工場などで情報を管理するための「管理者」を設置します。この管理者が現地(EEA)で収集した情報を一元的に管理して、社外的な対応ができるようにしておきます。この社外への対応には、万が一、情報が流出したときに、72時間以内通報する仕組みを整えておくことなども含まれます。

ケース3.収集したデータを移転するときは?

ヨーロッパ(EEA)で収集したデータを移転するときは、その移転先が十分性認定を受けている国かどうかで対応方法が変わります。日本を含む十分性認定を受けていない国へ移転するときは、移転元企業と移転先の企業との間に「SCC(標準的契約条項)」を締結します。これにより、ヨーロッパから情報を持ち出せます。

以上1~3のケース以外でも様々な対応方法がありますが、やはり企業ごとにことなるため、一度は、外部専門家に診断をお願いされた方がいいかと思います。

GDPRに関するよくある誤解とは?

中小企業の社長は「うちはB TO BだからGDPRは、一切関係がない!」と言われる方がいます。しかし、それは、大きな「誤解」です。GDPRは、B TO Bの形態など関係なく、何らかの個人情報を扱うすべての会社が対象です・

まとめ

  • GDPRは、ヨーロッパに属する人のすべての個人情報を規制する法律です。
  • GDPRは、データ収集、管理、移転などを厳しくしています。
  • この法律で規制される企業は、ヨーロッパに限らず、全世界の会社です。
  • 日本企業は、十分性認定を受けていない国として、別途SCCを用意して、情報を移転できる仕組みを整える必要があります。
  • GDPRに違反すると、最高で20億円ほど制裁金が課せられます。
  • 特にヨーロッパに向けて商品やサービスを提供しているところは、注意しましょう!
FavoriteLoadingこの記事をお気に入りに登録

[スポンサードリンク]


タイトルとURLをコピーしました