GDPRとは？概要や日本企業が対策すべき項目を解説

世界レベルで個人情報保護にまつわる基準や規則が厳格化する中、2018年にEUで施行されたGDPR。「EU域内におけるデータ保護の話でしょ？」と放っておくことはできない、日本企業にも影響与える可能性のある内容がそこには含まれています。
ここでは、そのGDPRの定義や注意すべきポイント、日本企業が対処すべきケースなどについて解説していきます。

「GDPR」とは

GDPR（General Data Protection Regulation）は、EUにおける「個人情報保護のための規則」です。日本語では「EU一般データ保護規則」と訳されます。昨今のプライバシー保護気運の高まりにあわせて、2018年5月25日に施行されました。
GDPRはEU域内（アイスランド、ノルウェー、リヒテンシュタイン含む）の個人情報の取り扱いに関する規則ですが、実は全世界の企業に適用可能性があり、日本企業もまた例外ではありません。

GDPRにおける「個人情報処理」の定義

では、GDPRの要点を見ていきます。まず、GDPRにおける「個人情報」と「処理」について、具体的に見ていきましょう。

「個人を特定・識別できるあらゆるデータ」が対象

GDPRでは、名前や住所などEU域内の個人を特定・識別できるあらゆるデータを「個人データ（個人情報）」と定めています。該当する条文（GDPR第4条第1号）と、個人情報保護委員会による試訳は以下の通りです。

(1) 'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an 3 identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

(1) 「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
引用：個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679（一般データ保護規則）」

私たちにとって身近なところでは、以下のような情報が個人データと見なされると考えられています。

• 氏名
• 識別番号（マイナンバー）
• 位置情報データ
• クレジットカード番号
• パスポートの番号
• オンライン識別子（IPアドレス・Cookie）

CookieやIPアドレスなども対象

注意しなければならないのは、IPアドレスやCookie情報のようなオンライン識別子に代表される日本法において単体では個人情報に該当しないデータでも個人データの対象になる点です。GDPRでは厳重に扱わなければなりません。たとえば、公式サイトで何気なくオンライン識別子を用いて情報を収集しているだけでも、GDPR違反となる恐れがあります。

収集・編集・送信による開示などあらゆる取り扱いが「処理」とみなされる

GDPRにおける「処理」とは、上記の個人データに対する収集・保存・編集・開示などのあらゆる行為をまとめたものです。EU域内の個人に関する情報を取り扱うことはすべてGDPRの対象となりうる、と認識しておけば間違いないでしょう。例えば、サーモグラフィカメラを利用し、建物に出入りする人の体温を機械的に測定する行為について、個人情報の「処理」であり、GDPRの規制対象であるとする裁判例があります。（Conseil d'État, 26 juin 2020, Caméras thermiques à Lisse）日本の個人情報保護法的思考からは、首をかしげる決定かもしれません。しかし、このようにあらゆる個人情報の取り扱いが個人情報の「処理」に該当するのです。

GDPRが日本企業に影響するケース

上記のようにGDPRが適用される「個人データ・処理」の範囲は広く、入念な対策が必要です。
そこで次に、日本企業がGDPRの対象となる条件をご紹介します。

EU域内の支店・子会社などの営業拠点の活動の過程で個人データを処理する

支店や子会社などの営業拠点がEU域内に存在する場合、その活動の過程で個人データを処理する場合は当然GDPRの適用対象となります。本社の所在地がEU域外であっても免除されません。また、その個人データの処理が、EU域外において行われる場合にも、EU域内のに支店・子会社などの営業拠点の活動の過程で個人データを処理する場合には、GDPRの適用対象となります。

日本国内からEUに向けて商品・サービスを提供している

インターネットサイトなどを利用して日本からEU域内に商品販売やサービス提供を行っている企業にもGDPRが適用されます。日本国内からEUに向けて商品・サービスを提供しているかの判断基準は、サイトにおける言語や取り扱い通貨などにより総合的に判断されます。

EU域内のデータ主体の監視をする場合

インターネットなどを通じて、EU域内のデータ主体の監視を行う場合にも、GDPRが適用されます。「監視」と聞くとそんな仰々しいことは行わないと思うかもしれません。しかし、この「監視」の対象範囲は広く、ターゲティング広告やレコメンドなどが含まれます。また、「監視」の明白な意図がなく、結果的にEU域内のデータ主体を「監視」してしまう場合でも、本条件を満たすおそれがあります。以上のように、「EU域内のデータ主体の監視をする場合」という本条件は非常に緩いものなのです。

GDPRについて企業が注意すべきポイントとは

ここまでの適用条件を踏まえたうえで、企業が見落としがちなポイントを見ていきましょう。

EU域内からのWebアクセス

もっとも警戒すべきは、自社サイトに対するEU域内からのアクセスです。前述の「EU域内のデータ主体の監視をする場合」や「EU域内のデータ主体の監視をする場合」に該当するおそれがでてきます。たとえば英語版サイトを運用し、ターゲティング広告のタグを設置しているだけでもリスクがあります。現在の自社サイトに対するアクセスを解析して、EU域内からのアクセスが一定数あるようであれば、ただちにGDPR対策をおこないましょう。

EU域内短期滞在者の個人データ

出張・出向などでEU域内に短期滞在している人の個人データもGDPRの適用対象です。GDPRにおける個人データの定義では、国籍や居住地を問わず、「取得時にEU域内に居たかどうか」が争点となります。そのため、たとえば日本からEUに出向した社員の個人データであっても、GDPRにもとづいて取り扱わなければなりません。

日本国内へのデータ移転時の「補完的ルール」

GDPRはEU域外への個人データ移転について厳しく制限しており、持ち出しに関する所定の条件を定めています。しかし日本は「十分性認定」＝個人データ取り扱いに関する十分な保護水準を満たした国という認定を受けており、この条件が適応されません。これは日本企業にとって大きな追い風と言えます。認定がない国では、企業間でデータ処理に関する契約を都度交わさなければならないからです。
もちろん、だからといって何をしてもよいわけではなく、個人情報保護法＋「補完的ルール」を遵守する必要があります。補完的ルールはGDPRと個人情報保護法の差異を埋めるためのもので、個人情報保護法より厳しく設定されています。国内の個人データと同じ意識で扱ってしまうと、トラブルの元になるので注意してください。

GDPRに違反するとどうなる？

GDPRに違反すると、GDPR83条4項および83条5項によれば、

• 1,000万ユーロ（約12億円）以下の金額、または直前の会計年度における世界全体における売上総額の2％以下の金額、もしくは、いずれか高額の方の制裁金
• 2,000万ユーロ（約23億円）が以下の金額、または直前の会計年度における世界全体における売上総額の2％以下の金額、もしくは、いずれか高額の方の制裁金

以上の制裁金が、義務違反のケースに応じ、事業者等に対して課されます。

これまでの最大の制裁金は、2019年にフランスのデータ保護当局「CNIL（情報処理と自由に関する国家委員会）がGoogleに科した5,000万ユーロ（約62億円）です。また2020年1月にはイタリア当局「GARANTE：Garante per la protezione dei dati personali」が大手通信事業者TIMに2,780万ユーロ（約35億円）の支払いを命じるなど、高額な制裁金を科される事例は増えつつあります。

>>GDPR違反について、詳しくはこちら

GDPRに向けた対策5つ

最後に、企業が行うべきGDPR対策をいくつかご紹介します。

適法化根拠に従い個人データを処理する

GDPRでは個人データの処理を禁止しているわけではなく、適法化根拠なしに個人データを処理することを問題としています。この適法化根拠には、「本人同意」「契約の履行」「法的義務の順守」「生命に関する利益の保護」「正当な利益」の6つがあり、個人情報を処理する場合には、どの適法化根拠に従い処理しているか、整理を行いつつ、処理を行うようにしましょう。

CMPを導入する（Cookie利用時に同意を得る）

GDPRではCookieの利用などのオンラインプライバシーについて、特に問題としています。例えば、Cookieの利用においては、適法化根拠として本人同意の取得を強く求めています。このCookieについての本人同意の取得は、CMPと呼ばれるツールを導入すれば簡単に対応が可能で、まず手をつけるべき部分です。Priv Techの提供するCMPである「Trust 360」でもGDPR対応が可能です。GDPR対応を考えるならば、まずCMPの導入を検討しましょう。

保持している個人データの暗号化などのセキュリティ対策

保存中の個人データは、暗号化・仮名化など適切な加工を行いセキュリティに不安がない状態にしておかなければいけません。怠ってしまうと義務違反となり、GDPRの罰則が適用されます。

保護違反時の72時間以内の通告

データを流出させてしまうなど、データの保護違反を犯した場合には、違反認識後から72時間以内に監督機関に対して報告しなければなりません。報告が遅れてしまうと遅延理由が求められるほか、制裁金も高額になります。万が一のために、違反報告までのフローを事前に整えておきましょう。

管理フローとプライバシーポリシーの改定

上記4つのポイントを意識したうえで、あらためて自社の個人情報管理フローがGDPRを準拠した内容となっているかを確認してみましょう。

• 個人データを取得しているシチュエーション
• 取得している個人データの種別
• 取得データの管理状況

などを明らかにし、自社の抱えているリスクを明確化しておくことが大切です。
また、すでにプライバシーポリシーを公表している場合にも、多くのケースでは適法化根拠を明示するなど、GDPRに合わせて改定していく必要があります。
プライバシーポリシーについては以下の記事をご参照ください。

>>プライバシーポリシーについて、詳しくはこちら

まとめ

GDPRは決して遠い海の向こうの話ではなく、日本企業も対策しなければならない規則です。すでに数十億円の制裁金を科せられている企業も出ており、迅速な対応が求められます。
手遅れにならないためにも、今一度、そしてなるべく早めに、自社のデータ管理の状況を見直してみましょう。

公開日：2020年9月28日