しろくまの日記

しろくまがが綴る、ありのままの日記。

GDPR施行から約2年。改めてポイントを整理してみる。

Webマーケティング

2018年5月25日にGDPR(一般データ保護規則)が欧州で施行されてから、約2年がたった。日本でも個人情報データの扱いについて厳しくなってきている昨今、GDPRもひとつの目安として今後方針が定められていくのではないかと思ったので、改めてポイントを整理しておこうと思う。

 

そもそもGDPRとは

GDPRは、欧州議会欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組み。個人が自分の個人データをコントロールする権利を取り戻すこと、および欧州連合域内の規則を統合することによって、国際的なビジネスのための規制環境を簡潔にすることが目的。(Wikipediaより)

ポイント1 これまでは"指令"だったのが"規則"になった

GDPR施行までの変遷は下記のとおり。
1995年 データ保護指令採択
2015年12月 GDPR合意 
2016年4月 GDPR採択
2018年5月 GDPR施行

データ保護指令だとあくまで"指令"のため国別に整備するにとどまっていたが、明確に規則化されたことでEUすべての加盟国が対象になり、かつ要求事項が厳格になった。

ポイント2 個人情報の対象範囲が広くなった

欧州委員会によれば、"個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、または、コンピュータのIPアドレスまで、あらゆるものを含む。"とのこと。企業などの法人データや死者のデータ、完全に匿名化されたデータは対象外などはあるものの、個人情報の対象がとても広くなったことは間違いない。

デジタル化が進んだ結果、「あれこれって個人情報じゃない?」というのがたくさん出てきたので、改めて共通のルールをつくりましょう!ということですね。

個人データとは、EEA域内に所在する、「識別された、又は識別可能な」自然人(an identified or identifiable natural person)に関する全てのデータをいいます(GDPR4条1号)。

「識別可能な」とは、氏名に限らず、何らかの要素で識別可能な場合をいいます。その要素には、識別番号、位置データ、オンライン識別子のほか、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的なアイデンティ(これらの組合せを含む)が含まれます(GDPR4条1号)。

ポイント3 GDPRの適用対象はEU域外にも適用される

基本的にGDPRの対象となるのは下記3つ。
・データ主体(Data Subject):管理者によって収集および処理される個人データを所有する人
・管理者(Controller):データ処理の目的と手段を決定する人
・処理者(Processor):管理者に従ってデータ処理のみを行う人

簡単にいうと、個人テータの所有している人はもちろん、データ管理をする人、データを処理する人、みんな気を付けてね!ということ。

注意点としては、EU域内に拠点がなくてもEU居住者にサービスを提供している場合は対象となること。つまり、日本の企業であっても、EUに子会社、支店を置いていたり、EUを対象にサービス提供を行っている場合は、もれなくGDPRの対象となるということになる。

ポイント4 個人データの取り扱いについて透明性の確保が求められる

データの収集理由・利用目的について、個人の同意を明確に取得しなくてはならない。説明責任の原則により、管理者は個人データについて管理・処理していることをいつでも示せるよう備えておかなければならない。データ管理者は同意(オプトイン)を明確にする必要があり、その同意は取り消すことができる(オプトアウトできる)ようにしなくてはならない。

簡単にいうと、データ取得時はわかりやすく説明して合意とってね、辞めたい人はいつでもわかりやすくやめられるようにしおいてね、ということ。

ポイント5 データ侵害時の通知義務が課された

データ侵害があった場合、データ管理者は72時間以内に監督機関に通知するとともに、対象の個人に対してもその旨通知を受けなければならない。指定の時間以内の通告が法的義務として課されたのは大きなポイント。

ポイント6 厳しい罰則が課された

GDPRで定められた義務内容にもしも違反した場合は、
・前年度の全世界売上高の4%
・2000万ユーロ(1ユーロ125円とすると25億円)
いずれかのどちらか高い方が制裁金として課される。

GDPR施行から2019年1月27日までで、実際に16万件以上の違反報告があり、合計1億1400万ユーロ(約139億円)の制裁金が発生している。

話題になった事例としては下記のようなものがある。Googleを取り締まりたくて仕方がなかったのだろうな感。

2019年1月 Google(約61憶円)
→ターゲティング広告の透明性・説明責任の欠如。
2019年7月 ブリティッシュ・エアウェイズ(約257億円)
サイバー攻撃による約50万人の個人情報流出。カード情報を暗号化せず保持していたため、個人補償約875憶円を高等裁判所より命じられる。
2019年7月  ホテルチェーン大手の米マリオット(約139億円)
→システム脆弱性により約3憶3千個人情報漏洩。
2019年10月 Google(約180憶円)
→検索広告の規約が不透明で客観性を欠いていると指摘。

ポイント7 データ保護最高責任者を新たに設置しないといけないケースも

データ保護最高責任者(Data Protection Officer : DPO)は
・公的機関または団体によって個人データの取り扱いが行われる場合
・定期的かつ系統的に膨大な個人情報を取り扱う場合
・膨大な配慮が求められる個人情報を取り扱う場合
などに設置の義務が発生する。