GDPR(General Data Protection Regulation)=EU(一般データ保護規則)は、EEA(欧州経済領域)※における個人データ保護に関する法律です。
違反すると高額の制裁金が課され、実際に数百億円の制裁金が課された事例もあります。
2022年4月に日本でも個人情報保護法改正が控えており、個人情報保護の機運をますます高まっています。
そこで施行から3年たったGDPRについて改めてご説明いたします。
目次
GDPRとは
改めてGDPRとはGeneral Data Protection Regulation=EU一般データ保護規則といい、EEA(欧州経済領域)※における個人データ保護に関する法律です。
EEA域内で取得した「氏名」や「メールアドレス」、「クレジットカード番号」などの個人データをEEA域外に移転することを原則禁止しており、EEA域内の国籍所有者だけでなく、EEA域内に進出している日系企業に勤務する従業員や日本からの駐在員も保護の対象となっています。
※EEA(欧州経済領域):EU加盟の27ヵ国(アイルランド、イタリア、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、ルーマニア、ルクセンブルク)に加えて、アイスランド、リヒテンシュタイン、ノルウェーの計30ヵ国で構成
GDPRの成立時期
GDPRは2016年5月4日発行のEU官報に掲載され、2016年5月24日に発効しました。ただ、実際の運用開始までは、およそ2年間の猶予期間が設けられ、行政罰をともなう運用が開始されたのは2018年5月25日で、実質的な「施行日」となっています。
GDPRが施工される以前には、データを保護する法律として「Data Protection Directive 95(EUデータ保護指令、1995年施工)」があり、それに代わる法規制としてGDPRが登場しました。
GDPRが事業者に定める義務
GDPRがデータを扱う事業者に定める義務の一部を抜粋します。
- 同意
- 個人データを取得するためには、本人の明確な同意取得が必要。本人が個人データの削除や利用制限を管理者に要求できる
- 通知
- 個人データを取得する際には、取扱者は、当該データを取り扱う目的、保管する期間などを通知しなければならない
- アクセス権
- 本人が自らの個人情報にアクセス(開示など)できるようにしなければならない
- 報告
- 情報漏えいなどの違反行為があった場合は、72時間以内に規制当局へ通知しなければならない
詳しくは日本の経済産業省のWEBサイトをご覧ください
引用元:EU域内にいる個人の個人データを取り扱う企業の皆さまへ
個人情報の範囲
GDPRは以下の情報を、個人情報として明確に定義しています。
- 氏名
- 住所
- メールアドレス
- IDカード番号
- 位置情報
- IPアドレス
- Cookie ID
- 携帯電話の広告識別子
- 病院や医師が保持するデータであり、個人を一意に識別する象徴となりうるもの
このほか明確に定義はしていないものの、取引履歴や写真、SNSへの投稿なども個人情報に含まれると考えられています。
詳しくは日本の個人情報保護委員会のWEBサイトをご覧ください
引用元: GDPR |個人情報保護委員会
GDPRが作られた背景
GDPRが施工する以前にあったデータ保護に関する法律「Data Protection Directive 95(EUデータ保護指令、1995年施工)」では。オンラインで扱う個人情報への規制がありませんでした。インターネットがなくては生活ができない現在の社会情勢に合わせて、データ保護司令をアップデートしたものがGDPRであると考えて差し支えありません。
引用元: GDPRとは?日本への影響と企業側の対応を解説 – 顧客ID統合 SAP Customer Data Cloud | NTTコム オンライン
GDPRの日本国内企業への影響
GDPRはEEA域内の法律であるものの、日本企業にも密接に関与してくるので注意が必要です。その影響の一例を見てみましょう。
EEA域内の顧客情報
GDPRは企業の所在地がどこにあるのかに関わらず、EEA域内に在住する個人のデータを扱う企業・組織すべてが対象になると定めています。つまり、日本企業がEEA域内の拠点で、顧客から得た個人データもすべてGDPRの対象になります。
たとえば、EEA域内の顧客を対象にWebでアンケートをおこなった場合、アンケートで集まった個人情報はGDPRの対象になるので注意しましょう。
短期滞在者の個人データ
GDPRはデータの取得時に「EEA域内にいたかどうか」で、GDPRの対象かそうでないかを判断します。したがって、出張や出向などでEEA域内に滞在している社員の個人情報もGDPRに基づいて取り扱いをしなければなりません。
代理人選定の必要性
EU域内に拠点を持たない企業は、原則としてEU域内に居住する代理人を選任しなければなりません。代理人は、管理者・処理者の代わりにGDPRの遵守に関する一切の問題に取り組むために管理者・処理者によって委任されることになります。
罰則について
GDPRの特徴として、高い制裁金が挙げられます。
違反すれば、最大で全世界での年間売上高の4%か2000万ユーロ(約25億円)の高いほうの制裁金を科されるという厳しい内容で、2018年5月にGDPRが施工されてから、制裁金を課された企業はいくつかあります。世界的な企業もその例外ではありません。
フランスのデータ保護機関は、2019年1月、世界的企業のGoogleに対して、「個人情報利用の合意をユーザーから得る手続きが不適切だった」などと指摘し、5,000万ユーロ(約64億円)の制裁金を科すと発表しました。
保護期間が問題視したのが、Googleの基本ソフト(OS)「アンドロイド」が入ったスマートフォンを初期設定する手続きなど。
ユーザーが個人情報の説明にたどり着くまでに、5回クリックしなければならない状態だったことがGDPRが定める個人情報保護に関して「明瞭で平易な」状態になっていないと判断しました。
引用元:Google、フランス当局からGDPR違反で5000万ユーロの罰金 – ITmedia NEWS
マリオット・インターナショナル
世界的なホテルチェーン大手のMarriott(マリオット)が2018年に、予約するためのデータベースがハッキング被害に遭い、暗号化されていない状態のパスポート番号およそ500万人分、クレジットカード情報およそ800万人分が流出したと発表しました。
情報流出とデータベースが脆弱であったことを理由に、英情報保護当局が9,920万ポンド(約135億円)の制裁金を課すと発表しました。
引用元:英当局、マリオットにGDPR違反の制裁金135億円–顧客情報の流出で – CNET Japan
Amazon
Amazonが欧州の本部を置くルクセンブルクのプライバシー規制当局は2021年7月、Amazonがターゲット広告目的で顧客データを使用していたことがGDPRの規制に違反したとして、7億4,600万ユーロ(約970億円)の制裁金を科すと発表しました。
Amazonは詳細は明らかにしていませんが、当局から違法とされた行為については「消費者に適切な広告を表示する方法」とだけ説明しています。
引用元:CNN.co.jp : EU当局、アマゾンに制裁金970億円 データ保護違反で
GDPRに違反しているとして制裁金を科すと発表した主な事例
発表日 | 企業名 | 業種 | 国 | 金額 | 理由 |
2019年1月 | IT | フランス | 5,000万ユーロ(約64億円) | 個人情報取得の説明や同意手続きに不備 | |
2019年7月 | マリオット・インターナショナル | ホテル | イギリス | 9,920万ポンド(約135億円) | 顧客情報の流出およびセキュリティの脆弱性 |
2019年10月 | ドイツェ・ボーネン | 不動産 | ドイツ | 1,450万ユーロ(約180億円) | 個人情報の不当な保存 |
2021年7月 | Amazon | IT | ルクセンブルク | 7億4,600万ユーロ(約970億円) | 顧客データの処理に違反 |
※事例のなかには、制裁を不服として裁判所へ訴えて、違反金が減額になったケースもあります。
広告主が気をつけるポイント
岐路に立つターゲティング広告
GDPRをはじめとして、世界で個人情報保護を重視する動きが高まっています。GDPRの施工によって、Google Chromeをはじめとする主要なWebブラウザは、これまで高い精度を誇ってきた運用型広告のCookie(クッキー)の利用を制限せざるを得ませんでした。
それにより、消費者のWeb閲覧履歴や購買履歴から、その人の趣味嗜好を分析し、購買意欲を煽るようなターゲティング広告は岐路に立たされています。
クッキー使用への同意
最近のWEBサイトでよく目にするのが「クッキーの使用や取得」への同意を求めるポップアップ。これもGDPRが施工したことを受けて、多くの企業が取り入れた措置の一つといえるでしょう。
日本ではまだポップアップが表示されないWEBサイトもありますが、ヨーロッパの企業のWEBサイトでは「Cookie(クッキー)使用」への同意が求められるポップアップが実装されているのがスタンダードになっています。
クッキーに含まれる個人情報の利用は、ユーザーの同意を求める要件が厳格化したことが影響しています。
自社のWEBサイトにクッキーの使用に関するポップアップをまだ実装していないのであれば、早急に取り入れたほうがいいでしょう。
まとめ
企業活動に大きな影響を与えるGDPRについて見てきました。個人情報保護意識の高まりは欧州だけでなく、いまや世界的な潮流になっています。日本も例外ではなく、2020年6月に個人情報保護法が改正され、改正法が2022年4月に施工されます。
法令違反時の罰則が厳しくなったり、本人の権利保護が強化されたりする内容になっています。来年の施工を待たずして、取得した個人情報保護への取り組みとそれにともなう新たな広告施策を検討しましょう。
タガタメではGDPRや個人情報保護法に準拠した広告施策の展開をお手伝いしています。ぜひ、お気軽にお問い合わせください。
このコンテンツを読んだ方が一緒に読まれているコンテンツです。ぜひこちらも一読ください。
ITP機能とは?広告運用者ができる対策を解説
Cookie(クッキー)とは?初心者向けにわかりやすく解説