
はじめに
GDPRに関して、様々な情報が錯綜し正しい情報を理解できていない企業も多く、欧州に拠点に本社に置く弊社に多くいただいております。
今回、欧州委員会の『司法、消費者総局』のサイトからGDPRの最新情報と対策をお伝えします。
何を隠そう、欧州委員会の公式サイトの情報が真実です。
GDPR(一般データ保護規則)は、欧州連合(EU)で2018年5月に施行された個人データ保護に関する規則です。この規則は、EU域内で活動するすべての組織、またはEU市民の個人データを取り扱う全ての組織に適用されます。
GDPRの目的は、個人のプライバシー保護を強化することであり、違反した場合には高額な罰金が科される可能性があります。具体的には、年間売上高の4%または最大約32億円のうち高い方が適用されます。
結論
ECサイトやWebサービス、支社や子会社が持つクライアント情報など、ホームページを持つ全ての個人、法人が対象です。
端的に、『欧州の個人情報を欧州外でデータ管理、保管する事が出来ません!
すべてのデータ処理はGDPRに準拠しなければならず、違反した場合には重大な制裁金が課される可能性があります。
GDPRと個人情報取扱保護法は違うの?
日本の個人情報保護法とGDPRにはいくつかの違いがあります。
特に、GDPRは世界的な適用範囲を持ち、EU市民の個人データを取り扱うすべての企業に適用される点が特徴的です。一方、日本の個人情報保護法は、国内におけるデータ保護に主眼を置いています。
GDPRに関連する日EU間の越境データ移転は問題ない?
我が国は、個人情報保護法第28条に基づき、EUを個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国(国又は地域)に指定しています。
また、EUは、GDPR(一般データ保護規則)第45条に基づき、我が国の十分性認定を行っています。
このように、日EU間では、相互の円滑な個人データの移転を図る相互認証の枠組みが成立しており、互いのデータ保護制度を同等とみなし、両者間での自由な個人データ流通が可能となっています。
参考:個人情報保護委員会
しかしながら、リアルなGDPRの現状は?
Yahoo Japan
2022年4月よりYahoo Japanは欧州、及びイギリス圏からアクセス制限をしています。
これは、GDPRのリスク回避が目的であり、その理由は確認いただけます。
NTTデータのスペイン子会社
2022年にGDPRの違反により約1000万円の制裁金を科されました。
この違反の詳細として、データ保護に関する責任者の不在、処理目的の曖昧さが指摘されました。
この事例は、GDPR対応の重要性を改めて示しています。
GDPRから越境ECサイトを設計する
GDPRに責任者、管理方法など明確に記載
以下の内容を明記する必要があります
- あなたの会社/組織の情報(連絡先詳細、DPOの連絡先)
- 個人データを使用する理由(目的)
- 関係する個人データのカテゴリー
- データ処理の法的正当性
- データが保存される期間
- データの受信者
- データがEU域外に転送される場合の詳細
- 個人が持つ権利(データアクセス、削除、訂正など)
クッキー承認機能
GDPRおよびグローバルスタンダード仕様に越境ECサイトをアップデートする必要があります。
クッキー承認は、ユーザーが貴社サイトに流入した際、ポップアップを表示させ、『承認』『カスタマイズ』『拒否』の選択肢を提供することが求められます。
問い合わせフォーム
送信前に、個人情報取り扱いに関する同意のチェックボックスを設置する必要があります。
決済機能
日本の決済システムは、海外発行のクレジットカード決済が対応していない場合があります。
外部決済機能を実装する際には、GDPR準拠の確認が必要です。クレジットカード情報、それに関わる発送先の情報など、決済会社のデータベースで保管される為に、決済前で外部サイトに転送される場合は、事前にポップを表示させ同意ポップアップの設置が重要です。
これは、GDPRだけに関わらずアメリカでも同様です。
サーバー設置場所
クラウドサーバーを日本と欧州の両方に設置することで、一定のGDPR対策が可能です。
この方法はデータ管理に柔軟性を持たせますが、継続的な見直しが求められます。
ただ、このリスク対策は大きな投資で欧州展開をする企業、国内で有名なtoC向けのWebサービスを展開する企業に限定されるかと予想します。
GDPRは、ある程度妥協も必要る
GDPRは厳格なルールですが、全ての企業が完全に対応することは困難な場合もあります。
GAFAMのような企業は罰金を払ってでもスタンスを貫くことがあります。一方、中小企業にとっては顧客の信頼を失わないためにも、最低限の対応が必須です。
特に顧客管理システムやSAAS系の企業は、最新の規制を注視しながら対応を続ける必要があります。
GDPR対応を進めることで、長期的な信頼構築と競争優位性を確保することが可能です。