欧州GDPRに対応する個人情報保護規定【半蔵門ビジネス雑談】20180706
日本と欧州はGDPRに関しての十分生認定で合意したので、落ち着いたようだが。。。
欧州で5月に施行されたGDPR(一般データ保護規則)は、欧州域内の個人データの利用に関する規則で、日本企業が欧州のデータを日本に電子的に持ち込む際にも規制対象だ。
わかりやすくまとめられている記事をご参考まで。
5分で分るEUの一般データ保護規則 - WirelessWire News(ワイヤレスワイヤーニュース)
EUの一般データ保護規則(GDPR)が画期的な点 - WirelessWire News(ワイヤレスワイヤーニュース)
施工前大騒ぎ
持ち込むには、データのやり取りごとに欧州の雛形に基づいて契約などの対応が必要だ。5月25日の施行を前に情報が錯綜し、対応していない企業が殆どなのに、慌てる記事が多く出ていた。理由は、巨額の制裁金、域外企業も規制対象、個人情報だけでなくクッキーやIPアドレスなども規制されることなどがあったためだ。
(※その後、日本と欧州の十分性認定が合意の方向となり、日本企業は今後改正される日本法に規制される)
ちょっと冷静に
欧州に拠点がある企業でなくても、以下のような場合が対象となる。
- E U域内にいるデータ主体(居住者、出張者など)に商品やサービスを提供している場合
- ”E U域内にいるデータ主体(居住者、出張者など)の行動”の監視=すなわちクッキーなどを扱う場合(ただしここはグレーゾーン)
ただし、2番目の、「・」については、まだグレーな部分はある。
また、Webサイトにアクセスできるとかメールで連絡が取れるというだけでは対象とはいえず、欧州の言語が使われていたり、ユーロで決済ができたり、欧州特有の点を売りにしていたり(北欧での使用に最適!などと明記するなど)と対象となる。
「英語」は、欧州だけで利用されているわけではないので、否定的な見方もある。英語で記述してあるからといって欧州データ主体を対象としているとはいいきれないからだ。例えばアメリカ国内だけを対象としている企業だってある。対象になった場合には、対応が必要になるが、何も販売も提供もしていないのなら問題にならなそう。(そもそも欧州はGAFAをターゲットとしているという話もある)
日本企業が「明らかに欧州域内の人に何かを販売する場合」には対応が必要で、以下のような点が今回の改正で組み込まれている。
GDPRの主な改正ポイント
・適用対象範囲の明確化(EU域内に拠点を持たない企業も対象)
パーソナルデータ全体
+
++ 個人情報
++ 個人データ
++ 保有個人データ
開示請求、苦情対応を整え、本人が知りうる状態にしておく
ユーザーが入力して収集される: 個人名、住所、電話番号、メールアドレス、誕生日、誕生地、IDカードの番号、職場、学校、学歴。
ソーシャルメディアアカウントとそのポスト、サイトの操作で発生するメタデータ、位置情報、IPアドレス
ログに残る行動情報は一応対象外ではあるが、後日、個人情報を入力してIPアドレスなどと付き合わせることで、対象データになりうるもの。
このうち、要配慮個人情報(病歴や犯罪歴など不当な差別を受ける可能性のある情報)は、個別の対応が必要となる。
匿名加工情報
個人情報を加工して個人を特定できないようにしたデータ
6ヶ月以内に削除するデータも開示請求の対象
・特定企業等におけるデータ保護責任者の任命の要求
・E U内に拠点がない場合はE U域内の代理人を選任(要注意)
・個人データの国際移転に係る要求事項の具体化
・本人同意の立証責任の要求
・個人の権利侵害に係る通知義務等の具体化
・忘れられる権利の明確化(データの消去を求める権利)
・データ・ポータビリティーに関する権利の明確化
管理者から自らのデータ一式のコピーを汎用的な形式で入手する権利。EU域外への移転は現在も原則として禁止。企業が個人データの移転を行う場合には、本人の明示的な同意を得ておくか、データの転送先での適切な管理措置の保証が必要。
・ダイレクトマーケティングの拒否権の明確化
・プロファイリングによる判断を受けない権利の明確化企業の保有する個人データによって個人の属性が自動判断され、サービス等の差異化が行われることを拒否する権利
・16歳未満の個人データの取り扱い制限
・違反した場合の巨額な制裁金(これに一番ビビる、ただし。。。)
日本政府は、「十分性認定」を受ける
日本は、2017年に改正個人情報保護法が施行されたが、 匿名加工情報の扱いに隔たりがあり、新たな指針案を公表している。特に、加工情報を削除して再識別できないようにする点が大きな違いだ。
日本政府は、個人情報保護委員会の公表指針をベースに国として「十分性認定」を受けるよう動いている。これまで、カナダ、スイスなどが認定されているが日本はまだだからだ。
(5月31日付け日経新聞で実質合意の報道があった。今秋発表の予定)
ECサイトなどの個人情報保護方針や利用規約への対応の検討が急がれており、これを機に見直しは進んでいるが、まだ、見本となる雛形も少ないので、今だに四苦八苦しているのが実情と思われる。十分性認定の方向になるので直接制裁を受けることはなくなりそうだ。
参考サイト:
GDPR以後のインターネットとヨーロッパに拠点を持たない会社の対応方法について | Developers.IO