GDPRでコンプライアンス違反ってなに?

GDPRが施行されるとコンプライアンス違反になる?

GDPRが施行されるとコンプライアンス違反になる可能性があるいう記事を見掛けますが、いったいどういうことなのでしょう。

GDPRとは?

そもそもGDPRとはなんでしょう?GDPRは、EUで2018年5月25日に施行される「一般データ保護規則」でGeneral Data Protection Regulationを略して、GDPRと呼ばれているものです。少し違うかもしれませんが、日本で言えば「改正個人情報保護法」のような個人情報保護の法律(実際には内容は異なります)で、個人データの処理と移転に関する法律のようです。
EU加盟国は、それぞれデータ保護規則が存在していて、内容が国によって大きく異なっています。GDPRというEU標準のデータ保護規則に統一して「個人データの保護に対する権利という基本的人権の保護」するというもの。

細かくは色々とあると思いますが、個人データ処理の目的と手段を決定する管理者と、管理者の代行として個人データの処理を行う処理者に分けていて、個人データの処理と移転について定めた法律です。日本の国内法ではありませんが、インターネットの普及により、日本でもEUの個人情報を取り扱う可能性があり、対応が必要となる場合があります。

GDPRは、EU内に事業拠点がなくても適用される域外移転を厳しく規制しています。域外とは、欧州経済領域EAA(EU加盟国にノルウェー、アイスランド、リヒテンシュタインを含める)以外のことで、個人データの域外移転は原則として禁止、域外移転が可能なのは、EUがデータの保護措置が十分なレベルにあると認められる国のみとしていて、現時点で日本は域外移転が可能な国に含まれていません。
EU外にある企業などが、EAA内に居住している人から個人情報を収集、保管する場合などは、罰則を受ける可能性があるというものです。

  • 2018年5月25日から適用開始
  • 個人データの保護に対する権利という基本的人権の保護を目的とした法律(EU基本権憲章)
  • 適正な管理が必要とされ、違反には厳しい行政罰が定められている
  • EEA内に支店、現地法人などが無くても、ネット取引などでEEA所在者の個人データをやり取りする場合は対象になる
  • 組織の規模、公的機関、非営利団体等関係なく対象となる(中小零細企業でも対象だが一部例外措置あり)
  • 個人データの取扱い状況によってはデータ保護責任者(Data Protection Officer:DPO)やEEA内に代理人(Representative)の選任が必要になる

一例になりますが、個人情報には次のようなものが含まれます。

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー)
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

日本で営業している中で気を付けなくてはならない?

ここまで見ると、現地法人がある場合や、現地で仕事をしていなければ関係ないような気もしてきます。当サイトの対象と考えている企業規模であれば該当しない。と考えるのではないでしょうか?
インターネットが普及しているので、EU圏のユーザがアクセスしてくる。なんらかの情報を提供するために個人情報を入力させる場合があるのではないでしょうか?
ECサイトを運営していて、EU圏のお客様に販売するときはどうなるのでしょうか?
上段で一例とした中にクッキー(cockie)が含まれていますが、これらの情報を活用してマーケティングを行うとどうなるのでしょうか?

少し気になっただけでも疑問が湧きます。私のレベルでは判らないことばかりですが、ECサイトを運営されている方は一度調べてみても良いのではないでしょうか。

参考情報:
EY Japan EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項
https://www.eyjapan.jp/library/issue/info-sensor/2017-02-05.html

スポンサーリンク
spdsk-side
spdsk-side