目次
近年、世界的に個人情報データの扱いに関する規則の強化が始まっています。「GDPR」は、ヨーロッパ連合理事会、ヨーロッパ議会、ヨーロッパ委員会が協力し、市民が個人情報の管理をより適切に管理できるようにするために制定したものです。また、日本国内でも個人情報保護法が2022年に改正されるなど個人情報データの扱いに関して、法整備が進んでいます。
GDPRに関しては、違反時の高額な罰則が設けられていることもあり、海外に事業展開をしている企業様にとっては避けて通れない対策事項となってきています。2021年時点では、GDPRが制定されているとはいえ、日本企業で制裁金の処置を受けた企業はいませんでした。
しかし、2022年11月11日に「日本で初めてのGDPR制裁金処置」が発生しており、対策を急ピッチで進める企業様も増えてきております。本記事「GDPR対応チェックリスト」と銘打ち、GDPR対応で行うべき3施策をご紹介します。
また後半では、「GDPR対応多言語サイトリニューアル・制作パッケージ」のご紹介もいたします。海外事業を展開中の企業様で、GDPR対応をご検討中の企業様はぜひ最後までご一読ください。
日本企業で初めての制裁金事例にご興味お持ちの方はこちらの記事もご覧ください。
GDPRの基礎知識
GDPRとはGeneral Data Protection Regulationの頭文字で、EUを含む欧州経済領域(EEA)域内※が導入する、個人情報、個人データの扱いに関する規則です。ヨーロッパ連合理事会、ヨーロッパ議会、ヨーロッパ委員会が協力し、市民が個人情報の管理をより適切に管理できるようにするために制定したものです。
公式にヨーロッパ議会に認可されたのは2016年のことで、ヨーロッパ連合は会社や企業がこの新しい規制に準拠するために2年の期間を設けました。そのため2018年5月25日以降、この新しいGDPR法に準拠していない会社は法律に違反していることになります。
※EEA:EU加盟国にノルウェー、アイスランド、リヒテンシュタインを加えた30カ国
最新のGDPR摘発事例については、【GDPR対応制裁金】の資料をご覧ください。
GDPR対応の対象範囲
EEA域内で個人を対象に営業を展開しているすべての企業及び営業を検討しているすべての企業はこの新しい規制に準拠する必要があります。EEA域外の会社であっても、EEA域内の市民を対象に商品やサービスを提供している場合は規制の対象です。また、EEA域内の個人情報を保存している組織は2018年5月25日から罰則の対象とされています。
GDPR対応の対象となるデータや情報
EEA域内の個人を特定するのに利用できるあらゆる個人情報はGDPRの対象となっており、以下のようなデータが含まれます
- 氏名 ※ WEBサイトで頻繁に取得
- 位置情報(住所など)
- メールアドレス ※ WEBサイトで頻繁に取得
- オンライン識別子(IPアドレス、Cookieなど) ※ WEBサイトで頻繁に取得
- パスポート番号
- クレジットカード番号
- 健康診断結果
などの幅広い個人情報が対象となるため、大小に関わらずEEA域内を対象としたビジネスを行う企業様の場合は取得が前提となります。
未成年者は個人情報の利用に法的に合意することはできないため、16歳以下の子供のデータを企業が利用したい場合は親または保護者に許可を求める必要があります。
GDPR違反となった場合の制裁金
同意を得ずに個人情報を取得している、取得した個人情報の取り扱いが基準に達しておらず情報漏洩を発生させるなど、GDPRに違反しているとEEA域内の当局からの摘発があった場合、罰則として課される制裁金の上限は、違反内容に基づき次の二つの類型があります。
- 前事業年度の企業の全世界年間売上高の4%以下または2000万ユーロのいずれか高い方
- 前事業年度の企業の全世界年間売上高の2%以下または1000万ユーロのいずれか高い方
どのような場合に制裁金が課されるかはジェトロが公開する「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編) に詳しい説明があるため、こちらもご参照ください。
比較し少額である後者の類型の場合でも制裁金の上限が1000万ユーロ(日本円で約15億円)となるため企業にとって非常に大きなリスクであることがわかります。
日本企業が直面しているGDPRのリスクに関する詳細な分析は、こちらの無料資料でご確認いただけます。
これまでのGDPR制裁事例
これまで日本企業の摘発事例はありませんでしたが、2022年10月にNTTデータのスペイン子会社が提供する顧客管理システムを使用する保険会社で情報漏洩があったことで責任を問われたことにより日本企業で初の摘発となりました。
NTTデータ社も含め下記のような企業がこれまでGDPRにおける制裁金を課されています。
- Amazon:約970億円
- Google:約62億円
- ドイツのチャットプラットフォーム企業:250万円
- ポルトガルの病院:5,000万円
- NTTデータ スペイン子会社 940万円(日本企業初の摘発事例)
制裁を課す企業の基準が明確にされていないこともあり、AmazonやGoogleなどは多額の制裁金に対して抗議を表明しています。
GDPRで対応が必要な10項目
企業ごとにどのような個人情報を取得し管理するかにより差はありますが、一般的にGDPRを遵守した必要最小限の対応項目は下記の10項目となります。
【対応項目】
- GDPR適用対象個人データ用のプライバシーポリシーとCookieポリシーの策定およびこれによる同意取得&CMPの導入(Cookieポリシー策定)
- GDPR適用対象個人データ用の個人情報取扱規程の策定
- 処理業務の記録簿の作成
- 安全管理措置の実装
- 情報漏えい等のデータ侵害が発生した場合の当局報告・通知の対応
- EU代理人の設置
※状況によりイギリスに代理人も設置が必要 - DPO(Data Protection Officer)の設置 (CxO以外にデータ処理の妥当性を管理する責任者の任命および部署の設定)
- データ保護影響評価(個人情報を大量に扱う事業を行う際に、漏洩があった際のリスクがどの程度かというのを評価した報告書の作成が必要)
- DPA(Data Processing Agreement)及びSCC(Standard Contractual Clauses)の締結
- 十分性認定の補完的ルールへの対応
※1~9の項目を対応した場合に付随的に対応したとみなされる
海外事業に関わる方は、推進するのが億劫になってしまうような項目が急に出てきたかと思います。
もちろん、EEA域内に向けてビジネスを行う企業であれば最終的には上記の項目全てでGDPR観点で問題がないレベルまで引き上げていく必要がありますが、情報システム部門や法務部門、経営陣との連携が必要になる部分のため、他のセキュリティ観点のリスクと同様にリスクは存在しているが徐々に対応を行うという進め方が現実的となります。
優先順位としては「外部から明確に見える部分」の整備を進め、内部の情報セキュリティ管理体制も含めた整備を段階的に対応することを推奨いたします。
(※但し、社内でGDPR対応に関する動きが一切ない場合には、一度弊社のおすすめのGDPR対応に強い弁護士事務所に、全体設計から支援に入って頂くのも良いかと思います)
優先順位が高い”対外的なGDPR対応”
前項の10項目でも優先順位の高い(外部からみて明らかに未対応であることが分かる)”対外的GDPR対応”は下記の3項目になります
❶プライバシーポリシーの整備とCookieポリシーの作成
❷Cookie同意ツールの導入(及び Webサイトへの設置)
❸Cookie同意ツールへの回答に基づく、各種マーケティング分析体制の構築
上記は特にWEBサイトにプライバシーポリシーとして掲載したり、同意ツールを導入することでポップアップが表示されたりと、外部からみて対応しているか否かがわかりやすいためまず初めに整備を進めましょう。
❶プライバシーポリシーとCookieポリシーの作成
EEA域内のユーザーを含め事業を行う際にはGDPRの内容に沿ったプライバシーポリシー、Cookieポリシー等を策定し、それに対して同意を取得する必要があります。
プライバシーポリシー、Cookieポリシーを作成する際には自社のビジネスにおいて、
- 誰からどのような個人情報どのような目的で取得するのか
- データの保存期間、管理はどのように行うのか
- 取得した個人情報を受け渡す可能性がある企業、団体はあるか
- WEBマーケティング活動においてどのようなCookieを取得、活用する可能性があるのか
などを網羅的に把握した上で取得の対象となる個人に提示する必要があります。
そのためGDPRに対応したものを整備する場合、WEB上で取得するCookie情報・IPアドレスなどがどのようなものなのか理解し、対応できる弁護士のレビューが必要となります。
(※弊社でも自社のGDPR対応のために弁護士事務所様に相談を行っておりましたが、相談内容が専門的になるにつれ、弁護士事務所様からよりGDPRに詳しい弁護士事務所を2度紹介されました。)
GDPRに詳しい弁護士事務所を起用して策定する必要がある内容ですが、「GDPRで対応が必要な10項目」で紹介した項目の中でも、単発契約でも依頼しやすい内容となっています。
もちろん新規サービスを頻繁にローンチしたり、ビジネスドメインが変わる場合はその要件に合わせてポリシーの改訂が必要なため、一度整備したらそこで終わりではないことに注意です。
下記にLIFE PEPPERの事例を掲載していますが、LIFE PEPPERのコーポレートサイトは日本語の標準のプライバシーポリシーと別立てでGDPR用の英語のプライバシーポリシーを設けています。
・弊社LIFE PEPPERのWEBサイトの事例(リンク)
❷Cookie同意ツールの導入(及び Webサイトへの設置)
WEBサイトに訪問したユーザーに表示されるCookie同意ツールの導入が必要です。
GDPRでは「個々人にどの範囲での個人情報の利用を許諾するか」を明確に回答をもらう必要があり、その同意に合わせて個人情報の利用を行う必要があります。
初めてWEBサイトを閲覧する時にはCookie同意ツール、フォーム等で個人情報を入力される際にはプライバシーポリシーへの同意を取得します。
複数ツール、複数弁護士事務所の比較検討を行った結果、弊社ではGDPRに強い弁護士事務所の起用およびその企業がおすすめするCookie同意ツールのOne Trustを導入しています。
・弊社のWEBサイトの同意ツール導入事例
❸Cookie同意ツールへの回答に基づく、各種マーケティング分析体制の構築
前項目で紹介したように、Cookie同意ツールを通じてWEBサイト利用者から「どの目的で個人情報を利用されることを許諾するのか」を取得します。
その許諾範囲に合わせて、Google tag manager等のタグ配信ツールを使用して、マーケティング関連のタグの配信を出し分ける設定を行います。
例:ターゲティングCookieを許諾したら、広告のターゲティングとして利用できるから、Google広告とFacebook広告の広告タグを配信する設定をするなど
仮にターゲティングCookieの取得を拒否された場合にもユーザーのCookie情報を利用しリマーケティング広告等を配信していた場合、ユーザー側からの告発の対象となることがありますので、形だけツールを導入するのではなく、GDPRに対応した正しいタグ設定の知識のある広告代理店にEEA域内の広告配信は設定を依頼しましょう。
・弊社LIFE PEPPERのGoogle tag manager設定の例
準優先度の高い”GDPRに対応した体制構築”
対外的な観点でのGDPR対応(GDPRに準拠したプライバシーポリシーの設定や、そのプライバシーポリシーに同意を頂いた上でフォーム送信を促すWEBサイトの設計)を完了した後には、経営陣・情報システム部門主導で「GDPRで対応が必要な10項目」で紹介した体制を構築していくことが望ましいです。
こちらに関しては、法律面と自社のビジネスモデルや扱うデータを加味して適切な設計を行う必要があります。
自社のみで体制構築を行うには社内にGDPRの専門家・法務がいるケースを除いて、基本的にはGDPR対応に強い弁護士事務所と協力して体制を構築することをオススメいたします。
加えて、日本企業初のGDPR摘発事例を含む制裁金の詳細について学びたい方は、当社が用意した資料をダウンロードしてご利用いただけます。
まとめ
GDPR対応を進めるにあたってやらなければならないことは非常に多く、企業規模によっては数ヵ年単位での体制整備が必要になるかと思います。
どのような部分から始めたら良いのかわからないという企業様に対して、弊社では「GDPR対応のWEBサイトの構築」のご支援と「GDPR対応に強い弁護士事務所のご紹介」が可能です。
GDPR対応に迫られている、知見を持ってアドバイスをしてもらえる支援企業や弁護士事務所を探しているという企業様は、お気軽にご連絡ください。
LIFE PEPPERでは過去 1,000 社以上の日本企業様の海外マーケティングを支援しております。この記事でわからない事も、弊社で解決できる内容であればご相談いただけます。
ぜひ、お問い合わせフォーム よりお気軽にご相談ください。
記事内容に関連する提供サービス
資料:GDPR対応万全の多言語WEBサイトリニューアルパッケージ
ご興味のある方は、以下リンクからダウンロードしてご活用ください。
⇒50種類以上の海外マーケティングに役立つお役立ち資料集
