あなたのビジネスにも関係あるかも? GDPRの基本を学ぼう!
GDPRって、いったい何?
GDPR(ジーディーピーアール)は、英語の「General Data Protection Regulation」の略で、日本語では「EU一般データ保護規則」と呼ばれています。
これは、欧州連合(EU)と、アイスランド、リヒテンシュタイン、ノルウェーを含む欧州経済領域(EEA)に住んでいる人たち(以下「EU域内の人々」と呼びます)の個人データを守るための法律です。2016年4月に採択され、2018年5月25日から施行されています。
昔は、企業が個人データをどう扱っているか不透明な部分が多く、勝手にメールアドレスを売られたり、情報が漏洩したりすることがありました。GDPRは、そういった問題を防ぎ、個人が自分のデータをコントロールできるようにすることを目指しています。
どんなデータが「個人データ」なの?
GDPRで保護される「個人データ」とは、特定の個人を識別できるすべての情報を指します。具体的には、以下のようなものが含まれます。
- 氏名
- 住所、メールアドレス、電話番号
- 識別番号(社員番号、顧客番号など)
- 位置情報
- クレジットカード情報
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的な特徴に関する情報
直接名前がわからなくても、他の情報と組み合わせることで個人を特定できる情報も「個人データ」に含まれる可能性があります。
誰がGDPRを守る必要があるの?
GDPRは、以下の条件に当てはまる企業や組織(「データ管理者」や「データ処理者」と呼ばれます)に適用されます。
- EU域内に拠点(支店、子会社など)を持っている企業や組織
- EU域内に拠点がなくても、EU域内の人々に対して商品やサービスを提供している企業や組織
(例:日本の会社が運営するECサイトで、EU在住者に商品を販売している場合) - EU域内に拠点がなくても、EU域内の人々の行動(Webサイト閲覧履歴など)を監視・追跡している企業や組織
(例:日本の会社が運営するWebサイトで、EUからのアクセス者のCookie情報を分析している場合)
つまり、日本企業であっても、EUとの関わりがあればGDPRの対象となる可能性があるのです!
GDPRの主なルールや権利
GDPRには、企業が守るべきルールと、個人が持つ権利がたくさん定められています。主なものをいくつか見てみましょう。
企業が守るべき主な原則・義務
- 適法性、公正性、透明性:法律を守り、公正かつ透明な方法で個人データを処理する。
- 目的の特定:明確な目的のためにのみ個人データを収集し、その目的以外には利用しない。
- データ最小化:必要最小限の個人データのみを収集・処理する。
- 正確性:個人データを正確かつ最新の状態に保つ。
- 保存期間の制限:必要以上に長く個人データを保存しない。
- 完全性・機密性:適切なセキュリティ対策を講じて個人データを保護する。
- 同意の取得:個人データを取得・処理する際には、原則として本人の明確な同意を得る。同意はいつでも撤回できる。
- プライバシーポリシーの整備:どのようなデータを、何のために、どのように使うのかなどを分かりやすく説明する。
- データ保護影響評価(DPIA):リスクの高いデータ処理を行う前に、影響評価を実施する。
- データ保護オフィサー(DPO)の任命:一定の条件を満たす場合、データ保護の専門家を任命する。
- データ侵害の通知:個人データの漏洩などが発生した場合、原則72時間以内に監督機関に報告し、本人にも通知する。
個人が持つ主な権利
- 情報を得る権利:自分のデータがどのように処理されているかを知る権利。
- アクセス権:自分の個人データにアクセスし、コピーを入手する権利。
- 訂正権:不正確な個人データを訂正してもらう権利。
- 削除権(忘れられる権利):一定の条件下で、自分の個人データを削除してもらう権利。
- 処理制限権:一定の条件下で、個人データの処理を制限してもらう権利。
- データポータビリティ権:自分の個人データを、別のサービスで再利用しやすい形式で受け取る権利。
- 異議を唱える権利:ダイレクトマーケティングなど、特定の目的でのデータ処理に異議を唱える権利。
- 自動化された意思決定に関する権利:プロファイリングなど、自動化された処理のみに基づいた決定に服さない権利。
違反するとどうなる? 高額な制裁金も!
GDPRに違反した場合、非常に高額な制裁金が科される可能性があります。制裁金の上限は、違反の内容によって以下の2段階に分かれています。
- 類型1:全世界年間売上高の2% または 1,000万ユーロ のいずれか高い方
- 類型2:全世界年間売上高の4% または 2,000万ユーロ のいずれか高い方
「全世界年間売上高」が基準になるため、大企業にとっては莫大な金額になる可能性があります 。実際に、多くの有名企業がGDPR違反で多額の制裁金を科されています。
GDPR違反による制裁金の事例(一部)
| 企業名 | 制裁金額(概算) | 決定時期(主なもの) | 主な違反内容 |
|---|---|---|---|
| Meta (Facebook/Instagram/WhatsApp) | 12億ユーロ (約1900億円) | 2023年5月 | EUから米国へのデータ移転に関する規則違反 |
| Amazon | 7億4600万ユーロ (約1180億円) | 2021年7月 | 広告ターゲティングシステムにおける同意取得不備 |
| TikTok | 3億4500万ユーロ (約540億円) | 2023年9月 | 子どもの個人データ処理に関する違反 |
| 5000万ユーロ (約79億円) | 2019年1月 | 広告目的のデータ処理に関する透明性・同意取得の不備 | |
| H&M | 3530万ユーロ (約56億円) | 2020年10月 | 従業員の個人データの不適切な監視・記録 |
| British Airways | 2200万ユーロ (約35億円) | 2020年10月 | データ侵害に対する不十分なセキュリティ対策 |
| Marriott International | 2000万ユーロ (約32億円) | 2020年10月 | データ侵害に対する不十分なセキュリティ対策(買収した企業のシステム) |
| NTTデータ スペイン子会社 | 6万4000ユーロ (約1000万円) | 2022年11月 | 委託先でのデータ漏洩に対するセキュリティ対策不備(日系企業初の事例) |
※制裁金額は報道時点の為替レート等により変動します。違反内容は簡略化しています。
2022年11月には、NTTデータのスペイン子会社が、取引先の顧客情報漏洩に関してセキュリティ対策が不十分だったとして、日系企業として初めてGDPRに基づく制裁金を科されました。これは、日本企業にとっても他人事ではないことを示しています。
日本企業はどう対応すればいい?
もしあなたの会社がGDPRの適用対象となる可能性がある場合、以下のような対応を検討する必要があります。
- 自社の状況確認:EU域内の個人データを扱っているか、扱っている場合はどのようなデータか、目的は何かなどを把握する。
- プライバシーポリシーの見直し・改訂:GDPRの要求事項(データ処理の目的、法的根拠、保存期間、個人の権利など)を盛り込む。
- 同意取得方法の確認・修正:明確で分かりやすい同意取得プロセスを導入する。
- セキュリティ対策の強化:個人データを適切に保護するための技術的・組織的な対策を実施する。
- データ侵害時の対応プロセス整備:万が一、データ侵害が発生した場合に、迅速に報告・通知できる体制を整える。
- データ保護オフィサー(DPO)の要否検討・任命:必要に応じてDPOを選任する。
- 従業員への教育:GDPRの重要性や遵守事項について、社内研修などを実施する。
専門的な知識が必要になる場合も多いので、弁護士やコンサルタントなどの専門家に相談することも有効です。
まとめ
GDPRは、EU域内の人々の個人データを保護するための重要な法律です。EUとビジネスを行う日本企業にとっても、無視できないルールとなっています。
個人データを適切に扱うことは、顧客からの信頼を得るためにも不可欠です。GDPRを正しく理解し、必要な対策を講じることが、これからのビジネスにおいてますます重要になるでしょう。
EUでは、データ法(2025年9月適用開始予定)やAI法など、デジタル関連の新しい法律が次々と導入されています。今後もデータ保護やプライバシーに関する動向に注目していく必要があります。