Web便利ツール

GDPRが日本企業に与える影響とは?

Webを扱う上で、個人情報の取り扱いは特に注意しなければならないことの1つです。近年では個人情報の漏洩だけでなく、不正な取得や取り扱いにも制裁金や罰金が課せられることが増えてきました。日本ではこれから規制が強まる可能性がありますが、欧米諸国ではすでにWebの個人情報の取り扱いに関する法律ができています。しかし、このGDPRは日本で知名度が低いのが現状です。今回の記事では、GDPRの概要と、GDPRが日本に与える影響を説明します。

GDPR

目次

GDPRとは

GDPRとは、General Deta Protection Regulationの略称です。日本語では「一般データ保護規則」と訳されます。EEA(EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)の個人情報の保護を規定する法律として、1995年から適応されていた「EUデータ保護指令」に代わり、2018年5月25日から施行されました。

GDPRに従わなかった際には罰則が適用されます。例えば、個人情報の移転・情報漏洩の際の義務責任を果たさなかった場合、企業の全世界年間売上高の4%か、2000万ユーロ(約24億円)のどちらか高い方を支払わなければならないという罰則が規定されています。

GDPRの注意点

GDPRについて注意するべき点は4つです。

1.ユーザーの同意

1つ目は、個人情報を取得するときにはユーザーの同意を得る必要がある点です。

企業は、個人情報を取得する際に自らの身元や連絡先、情報処理の目的、保管期間や第三者への情報提供の有無をユーザーに明記して、同意を得る必要があります。

2.オンライン識別子

2つ目は、IPアドレス・Cookieなどのオンライン識別子も個人情報に含まれる点です。

1つ目の注意点と併せると、IPアドレスやCookieを取得する場合も、その詳細をユーザーに知らせ、同意を得る必要があるとういうことになります。

3.データの扱い

3つ目は、各状況におけるデータの扱いについて細かく取り決められている点です。

パスワードを管理する際には必ず暗号化をしなければならいのはもちろんのこと、他者からの攻撃によってそれらのデータが侵害された時に、72時間以内に監督機関に報告するという義務も定められています。

4.GDPRの適応圏内

4つ目は、このGDPRはEU諸国以外の国にも適応される場合がある点です。

もちろん日本でもGDPRが適応される可能性があります。EU圏外の国のGDPR適応条件については、次の章で説明します。自社がGDPRの適応圏内だと知らずに、いつの間にか規則を破って罰則を受けてしまわないように、自社がどのような状況下にあるかを確認しましょう。

GDPRの対象企業

GDPRの対象となる企業の条件は主に4つです。

  • EU/EEA圏内に子会社や支店、営業所などを持つ企業
  • EU/EEA圏内に商品やサービスを提供している企業
  • EU/EEA圏内から個人データの処理について委託を受けている企業
  • EU/EEA圏内のユーザーのWeb上での行動データを取得している企業


また、少し特殊なケースではありますが、

  • 日本からEEA内に送付する個人情報
  • 日本へ移転される、EEA内で情報処理をされた個人情報
  • EEA内に出向した従業員の個人情報
  • 出張や旅行でEEA内に所在する社員の個人情報

以上の個人情報もGDPRの範囲に含まれます。

セキュリティ

日本国内でのGDPRの対応方法

日本向けで日本語対応のみの商品やサービスはGDPRの適応外です。ですが、自社のWebサイトがCookieなどのオンライン識別子を取得している場合は、EU/EEAからのアクセスの有無を調査する必要があります。EU/EEAからのアクセスを確認した際は、GDPRの個人情報の処理を遵守しましょう。

最後に、Cookie利用の同意を得る方法として、基本機能を無料で使えるサービスを3つ紹介します。

Cookie Consent

Webサイトの初回訪問時に、Cookie利用の通知表示と同意取得をすることに特化したオープンソースの無料ツールです。Cookie削除やオプトアウト(受信拒否)機能はありませんが、文言や見た目を詳細にカスタマイズできます。

Cookie Consent

Cookiebot

Cookie利用の通知表示と同意取得に加えて、EU/EEAからのアクセスの時だけ機能をONにしたり、サイトをスキャンすることでCookie表を自動生成することができます。多言語対応・カスタマイズをすることはできませんが、100ページ以内であれば無料で使用できます。

Cookiebot

OneTrust

Cookiebotと同様に、Cookie利用の通知表示と同意取得に加えて、EU/EEAからのアクセスの時だけ機能をONにしたり、サイトをスキャンすることでCookie表を自動生成する機能があります。無料版でも多言語対応・カスタマイズをすることができますが、オンライン登録をしてから実際に使えるようになるまで数日かかります。

OneTrust

まとめ

国内での知名度の低さとは裏腹に、日本企業が注意するべき点は数多くあります。自社の状況を見直して、GDPRの適応圏内かどうかをよく確認しましょう。

Web担当になったけれど自分の知識に自信がない、自社のWebページをもっと改善したい、けれども、うちにはそんな時間も人材もないというお悩みはございませんか?

WebMediaを運営するITRAではお客様に真摯に向かい、ご要望に沿ったWebサイト制作やリニューアルを行ってきました。お気軽にお問い合わせください。

関連記事

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。