PcBanner SpBanner

【5分で簡単理解】GDPRとは?日本企業の取るべき対策や個人情報保護法との違いを解説

2023.07.05 2023.05.30 

【5分で簡単理解】GDPRとは?日本企業の取るべき対策や個人情報保護法との違いを解説

GDPRの概要

GDPRとは

GDPR(General Data Protection Regulation)とは、2018年5月25日に制定された、EEA(EU加盟国+アイスランド、リヒテンシュタイン、ノルウェー)における個人データ保護に関する法令です。主に企業の個人データの管理・取得・移転、データに関する基本的人権の保護、違反した際の罰則について定められています。また、その適用範囲の広さから日本の企業も無視できない法令です。

個人データに当てはまる情報

個人データに該当する情報は以下のようなものがあげられます。

  • 氏名
  • 識別番号
  • 住所
  • メールアドレス
  • 位置情報
  • IPアドレス
  • クッキー
  • トラッキング情報
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する情報

など

日本の法令よりも当てはまるものが多いので要注意です。

 

GDPRと日本企業の関連性

EEA域の法令なので日本企業には関係のないものに感じますが、実は日本企業であっても、GDPRに抵触する可能性が十分にあります。その秘密はGDPRの適用範囲にあります。

日本企業におけるGDPRの適用範囲

以下のケースのいずれか1つでもあてはまる場合、日本企業にもGDPRが適用されます。

  1. EEA域内に子会社や支店がある
  2. EEA域内のユーザーに対して商品やサービスを提供している
  3. EEA域内のユーザー行動を把握・分析する
  4. EEA域内から個人データの処理を委託している

2.の具体例を挙げると、ECサイトを運用している企業などでEEA域内のユーザーに商品・サービスを展開している企業があてはまります。この際注意すべきなのは、EEA域の国籍を持つユーザーではなくEEA域内でサービスを使っているユーザーであることです。なのでEEA域内に移住している日本人ユーザーも対象のユーザーとなります。

3.の具体例を挙げると、企業の海外向けサイトにEEA域内のユーザーが訪問した際、氏名や電話番号、cookieを取得していた場合はGDPRが適用されます。

4.EEA域内のユーザーの個人データを直接取得していなくても、適用される点に注意が必要です。

EEA域内のユーザーと何らかの形で接点があればがあればGDPRが適用される可能性があると覚えておきましょう。

GDPRを違反した際の罰則

GDPRに違反してしまった場合、違反度合いや被害の大きさなどで以下のいずれかの罰則金が科されます。

  1. 1,000万ユーロ(約12億円)以下の金額、または直前の会計年度における世界全体に おける売上総額の2%以下の金額、もしくは、いずれか高額の方の制裁金
  2. 2,000万ユーロ(約23億円)が以下の金額、または直前の会計年度における世界全体 における売上総額の4%以下の金額、もしくは、いずれか高額の方の制裁金

歴代最高額の制裁金は2023年5月Metaに科された12億ユーロ(約1800億円)です。そして2022年8月には初めて日本企業である、NTTデータの子会社がGDPRに抵触し、6万4000ユーロ(約940万円)の制裁金が科されました。このことからも、決して日本の企業とは無関係とは言えないことが分かります。

 

日本企業が取るべきGDPR対策

GDPR含め、個人情報保護関連の規則の整備が進む中これらに違反しないよう、データの取り扱い方など日々の取り組みが重要となってきます。具体的には以下のような対策方法があります。

  1. 所有する個人情報の把握、一元管理
    企業が所有する個人情報を正確に把握し、一元的に管理することが求められます。万が一個人データが流出してしまった場合、72時間以内に監督局に報告する義務があります。報告が遅れると制裁金がさらに上がるので流失してしまった時の対応の確認もしましょう。
  2. セキュリティー対策
    セキュリティー上の問題が発生した場合に、適切な対応ができるようにすることが求められます。
  3. GDPRに対応したプライバシーポリシーの改定、同意(オプトイン)
    プライバシーポリシーをGDPRに対応したものに改定し、ユーザーからの同意を得ることが求められます。CMPツールの導入も考えましょう。
  4. ユーザーが自身の個人情報に関する権利を行使できる機能の整備
    ユーザーが自身の個人情報に関する権利を行使できるような機能を整備することが求められます。
  5. データ保護技術のひとつとして暗号化
    データ保護技術のひとつとして、暗号化が推奨されています。

個人情報の取得、管理、保護、運用面をしっかりと見直していきましょう。一部の関係者のみならず、組織全体が理解できるよう社内研修の実施などに積極的に取り組んでいきましょう。

 

個人情報保護法との違い

個人情報保護法とは

個人情報保護法とは、個人を特定できる情報の保護に関する日本の法律です。2022年4月に改正個人情報保護法が施行されました。

GDPRと個人情報保護法の違い

個人情報と定義されているデータの種類がGDPRの方が多いことに注意しましょう。具体的には個人情報保護法では電話番号、IPアドレスは個人情報とみなされていないため取得にユーザーの同意は不要ですがGDPRでは個人情報と見なされるためユーザーの同意が必要です。

まとめ

今回はGDPRについて簡単にまとめてみました。グローバル社会と言われ、ビジネスの舞台もグローバルへと変わった昨今、個人情報についてもグローバル基準に合わせなければなりません。もういちど個人情報関連の体制を確認し、必要があれば専門家に相談しましょう。

marke@bcj

marke@bcj

ウェブマーケティングコンサルタント 詳細な分析から成果改善までをコミット!

BCJメールマガジンのご登録

最新のセミナー情報やお役立ち情報をメールにてお届け致します!

デジタルマーケティングのお悩み
お気軽にご相談ください!

お急ぎの方はお電話ください

03-5468-3860

受付時間10:00-18:00(土日祝休)

メールでのお問い合わせはこちらから