ニュースレター

売上の1%を多言語化に。
日本語以外の市場に挑戦する企業を応援するニュースレター

GDPR(EU一般データ保護規則)の各企業の対応状況について

gdpr

GDPRとは?

2016年4月に欧州委員会で採択されてから、世界的に注目を集めていたEU一般データ保護規則(GDPR:General Data Protection Regulation)が5月25日に施行されました。

これは、欧州経済地域(EEA)内の全ての市民に関連する個人情報の保護を義務付ける、EU内全ての個人データ保護を強化と、基本的人権の保護を目的とした、EUが定めた新しいルールです。

対象範囲はどこまでなのか?

EUで成立したEUの法律であることから、日本国内の企業には関係ないと思われるかもしれませんが、この規則の適用対象は「EU圏内の市民の個人情報を取り扱う全ての組織に適用される」ため、ヨーロッパの消費者向けにサービスを提供している、EU圏内の個人の活動をモニタリングしている、などの国内企業・組織も適用対象になってきます。つまり、企業規模に制限もなく、拠点が世界中のどこであっても、EU圏内の個人情報を取り扱う企業は全てGDPRの適応対象になり得ます。

対応しないとどうなるのか?

GDPRの大きな特徴として、違反時の制裁金があります。これは、違反した際に、最大で2000万ユーロと全世界年間売上の4%までのいずれか高い方(GDPR第83条 5項)、日本円にしておよそ25億以上、という高額な制裁金を課される可能性があります。

現代において、さまざまな観点からGDPRの適用対象となる企業が多く存在すると考えられ、GDPRへの対策は重い罰則によって企業の明暗を分けることにもなる、非常に重要なものとなります。

これまでの企業の対応状況は?

GDPRの規制事項である、「個人データの処理」・「個人データの移転」に加えて、基本的人権の保護の考え方から「個人データの取得」・「個人データの保管」・「消去権(忘れられる権利)」の5つの項目について、グローバル展開している企業を対象にGDPR施行に伴って行われたWebサイト対策への方針を調査しました。※平成30年5月30日時点の自主調査となります。

Google

GDPRの施行に伴って、公式サイトのプライバシーポリシーを更新した様子です。

a. 個人データの取得
サービスの提供や維持、改善などのために利用される情報のみ収集するとされ、これらの管理をユーザー自身が行える仕組みになりました。

b. 個人データの処理
Googleのアカウントのプロフィールの変更、情報を共有する相手の指定、さらに、どの種類のデータをアカウントに保存・削除するか、広告のカスタマイズ、などユーザーが自分自身で管理できる範囲がより広くなりました。

c. 個人データの保管
データの送受信の際には、SSL(インターネット上でデータを暗号化して送受信するもの)を使用し、サービスの多くが暗号化され、管理されています。
また、Google アカウントにログインする際に、2段階の認証プロセスを提供することで、より安全に保管することができます。
国際規格である、ISO 27001(情報セキュリティ管理)やISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)に対するサービス管理の審査を第三者に依頼しており、より安全なサイト管理が行われています。
他にも、セキュリティに関する研究や業界全体の弱点に対するさまざまな研究から、インターネットセキュリティの専門家チームを作ることや、コミュニティに対してサポートを行うなどGoogle社内だけでなく、業界全体にさまざまな取組みを行っています。

d. 個人データの移転
プライバシーシールドに認定されており、EU参加国・スイスに対して個人データを合法的に移転することができます。
プライバシーポリシーに記載のある以外の目的で個人データを利用する際には、ユーザーの同意を得てから行われます。

e. 消去権
ユーザー自身による、Googleのサービスのコンテンツ、マイアクティビティの検索履歴などのデータ、自身に関連のある情報、アカウントの削除が可能になりました。

Amazon (AmazonのWebサービス、AWSにおけるGDPRに対する対策)

GDPRの要件を満たす新しいデータ処理契約(GDPR DPA)が用意され、ユーザーの支援のためにGDPRに適応するサービスを提供しています。また、セキュリティとコンプライアンスに焦点を当てた新機能やサービスが定期的にリリースされている様子です。

a. 個人データの取得
確認中

b. 個人データの処理
複数の要素からのアクセス認証やアクセス地域の制限、承認されたユーザー・管理者のみアクセス可能にすることができるなど、セキュリティの保障やガバナンス、コンプライアンスなどの機能を備えた環境を自動で作成できるようにAWSを適応させることで、個人データの処理と、保護の方法を制御することができます。
AWSの別サービスでは、アクセスを安全に制御するものや、クラウドリソースがセキュリティルールに準拠しているかどうかをチェックする監視サービス・セキュリティ分析などで対応している。

c. 個人データの保管
確認中

d. 個人データの移転
確認中

e. 消去権
確認中

楽天

2016年に日本の企業で初めてBCR(拘束的企業準則)の承認を受け、GDPRの施行に対しては、これに関する指針から対応している様子です。

a. 個人データの取得
個人データを取得する際に、ユーザーに対して利用目的を説明し、また、ユーザー自身の個人データがどのように取り扱われているか、ユーザーが明確に分かる状態が保たれます。

b. 個人データの処理
個人の人種や政治的見解などの特別カテゴリーの個人データは、その利用が絶対に必要な場合にのみ取り扱われます。

c. 個人データの保管
個人データの取得と取扱いの目的のために必要な、最小限の個人データだけ関連性があり、過剰でない限り保管されます。
また、ユーザーに、個人データの変更があった場合には、楽天に知らせるよう、積極的に促すことで、正確で最新な状態の個人データを保管します。

d. 個人データの移転
BCRの認定を受けているため、基本的には合法的に個人データを移転することができます。
移転する際にも、個人データの十分な安全が確保された状態でのみ、グループ会社以外の第三者に移転されます。

e. 消去権
EU居住者だけでなく全てのユーザーに、個人データの訂正・削除・補完などを求めて、いつでも請求できる権利を与えています。
申し立ては全てグローバルプライバシーオフィス宛に、書面によって申し立てることが可能です。

Webサイトへの対策を考える

GDPRで定義される個人情報には、IPアドレスやクッキー情報などのオンライン識別子も含まれます。加えて、「個人」とはEEA域内の所在者全般を指すことであり、旅行者も含まれるようです。このことから、Webサイトへの対応も検討しましょう。

具体的な取組みって何?

調査から見えてきた対策をご紹介していますが、対応方針は企業で異なります。Webサイト運用企業や法務部と連携して対応してください。

プライバシーポリシーの更新
Google Analyticsを導入している場合、プライバシーポリシーにGoogle Analyticsについて追記することを勧めています。(https://www.google.com/analytics/terms/jp.html

サイトポリシーの更新

データ取得の表示と同意を得るUIを実装
企業がソリューション提供しています。

個人情報を特定するものの廃止
例えば、URLに個人名称が記載されているなど

英語ページへの対応もお忘れなく

日本語以外のページが存在している場合、その外国語ページへの反映も忘れないように。GDPRのような専門性の高い内容を翻訳するには、いくつかの留意点があります。これから対応を検討される企業様向けにご紹介していますので、ご参照ください。
契約書翻訳 8つのポイント を確認する