cookieを有効？GDPR（一般データ保護規則）とは

投稿日: 2020年7月15日

GDPR（一般データ保護規則）

GDPR（General Data Protection Regulation）は、欧州における新しい個人データ保護の枠組みです。これはEU内の個人データを収集、処理をする事業者に対して、義務が課されます。つまり、欧州域内へ製品の販売を予定/すでに販売している企業で、個人データを扱っている企業はGDPRの対象となります。今回は、GDPRの概要と、日本企業が求められるGDPRの対応と違反リスクについて解説いたします。

 

GDPR（一般データ保護規則）とは

1995年からあるEUデータ保護指令に代わり、2016年4月に制定された規則で、2018年5月25日に施行されました。「指令（Directive）」から「規則（Regulation）」への格上げがなされ、全てのEU加盟国に共通の法規則として適用されています。EU内のすべての個人に適用され、個人は自分達のデータをより良く制御できるようになり、事業者は公平な立場での競争という便益を受けることになります。どこに拠点があるかに関わらず、EU内で活動している全ての企業への同一のルールです。

 

適用範囲

GDPRは、EU居住者の個人データを扱うすべての企業に適用されます。この法律によって、データ処理者の新しい義務が導入されるとともに、データ管理者の説明責任が明確に規定されました。

 

• 本規則は、その全部又は一部が自動的な手段による個人データの取扱いに対し、並びに、自動的な手段以外の方法による個人データの取扱いであって、ファイリングシステムの一部を構成するもの、又は、ファイリングシステムの一部として構成することが予定されているものに対し、適用される。

 

• 本規則は、以下の個人データの取扱いには適用されない：

1. EU法の適用範囲外にある活動の過程で行われる場合。
2. 加盟国によってEU条約第5款第2章の適用範囲内にある活動が行われる場合。
3. 自然人によって純粋に私的な行為又は家庭内の行為の過程において行われる場合。
4. 公共の安全への脅威からの保護及びその脅威の防止を含め、所管官庁によって犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行のために行われる場合。

 

つまり、GDPRの対象企業は以下などが挙げられます。

 

・日本から欧州域内に製品を輸出している企業

・欧州域内にグループ会社や現地支店、営業所などのある企業

GDPRに国境はなく組織の所在地にかかわらず、EUのデータ主体の個人データを処理する場合に適用されます。

 

法的用語

GDPRにおける法的用語を詳細に定義しています。

以下は、この記事で参照する最も重要なものの一部です。

 

個人データ―個人データは、直接的または間接的に識別できる個人に関連する情報です。名前とメールアドレスは明らかに個人データです。位置情報、民族、性別、生体認証データ、宗教的信念、Web Cookie、政治的意見も個人データである可能性があります。

 

データ処理—自動か手動かにかかわらず、データに対して実行されたアクション。本文で引用されている例には、収集、記録、整理、構造化、保存、使用、消去などが含まれます。

 

データ主体—データが処理される個人。これらはあなたの顧客またはサイト訪問者です。

 

データ管理者—個人データを処理する理由と方法を決定する人。あなたがデータを処理する組織の所有者または従業員であれば、これはあなたです。

 

GDPRでの「個人データ」とは何か

それでは、具体的にGDPRでは何か個人データに当たるか解説しています。

「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味します。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいいます。この「オンライン識別子」には、今まで個人データとみなされていなかったIPアドレスとCookie識別子が含まれ、取得する際にはユーザーの同意が必要になります。

 

GDPRの罰則について

GDPRに違反した場合の罰金は非常に高く、ペナルティ（罰金）は2段階あります。各国のデータ保護機関が、EUの同一水準に基づき、ルールを守っているかチェックします。

 

守られなかった場合のペナルティ（罰金）における一つ目の上限は、最高で1000万ユーロ（約１２億円）、又は、事業の場合は全世界における年間売上の2％までの罰金を課すものです。この一つ目の範囲の罰金は、例えば規則が必要とする影響評価を管理者が実施しない場合に適用されます。二つ目であるもっと高い罰金の上限は、最高で2,000万ユーロ(約２４億円)、又は、全世界の年間売上の4％となっています。

 

適切な罰金を決定する際は、各案件を注意深く評価し、以下の様々な要因が考慮されます。GDPRに基づき、罰金はEU各国のデータ保護規制当局によって管理されます。その当局は、侵害が発生したかどうか、およびペナルティの重大度を決定します。当局は以下の10項目の基準を使用して、罰金が査定されるかどうか、および金額を決定します。

 

1. 重力と自然—侵害の全体像。何が起こったのか、どうやって起こったのか、なぜ起こったのか、影響を受けた人々の数、彼らが受けた被害、そして解決するのにかかった時間。
2. 意図—侵害が意図的なものか、過失の結果か。
3. 緩和策—侵害の影響を受けた人々が被った被害を緩和するために会社が何らかの措置を講じたかどうか。
4. 予防措置— GDPRに準拠するために、同社が以前に実装した技術的および組織的な準備の量。
5. 歴史—データ保護指令（GDPRだけでなく）に基づく侵害を含む、関連する過去の侵害、およびGDPRに基づく過去の行政是正措置の遵守。
6. 協力—会社が監督当局と協力して侵害を発見して是正したかどうか。
7. データカテゴリ—侵害が影響する個人データの種類。
8. 通知—会社または指定された第三者が、侵害を監督当局に積極的に報告した。
9. 認定—会社が承認された行動規範を遵守したか、以前に認定されたか。
10. 悪化/緩和要因—侵害の結果として得られた金銭的利益または損失を含む、訴訟の状況から生じるその他の問題。

 

GDPRにおける違反の代価は、桁違いに大きなものです。

 

データ保護の原則

さて、いよいよGDPRの対象であり個人データを処理する企業が、何をしなければならないかご説明いたします。データ管理者は、GDPRの第5.1-2条に概説されている7つの保護と説明責任の原則に従って対応する必要があります。

 

第5条（1）では、個人データは次のとおりでなければなりません。

(a) そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。（「適法性、公正性及び透明性」）

 

(b) 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研 究の目的又は統計の目的のために行われる追加的取扱いは、第 89 条第 1 項に従い、当初の目的と適合し ないものとはみなされない。（「目的の限定」）

 

(c) その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のある ものに限定されなければならない。（「データの最小化」）

 

(d) 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが 取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。（「正確性」）

 

(e) その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持 されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切 な技術上及び組織上の措置の実装の下で、第 89 条第 1 項に従い、公共の利益における保管の目的、科学 的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個 人データをより長い期間記録保存できる。（「記録保存の制限」）

 

(f) 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、 適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様 により、取扱われる。（「完全性及び機密性」）

 

 

第5条（2）は次のように追加しています

データ管理者は、第 1 項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。（「アカウンタビリティ」）

 

 

上記の７つの原則に加えて、下記についても定められています。

 

• センシティブ・データの保護

人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明 らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止されています。

 

• 設計およびデフォルトによるデータ保護

これからは、組織で行うすべてのことを、「設計上、デフォルトで」データ保護を考慮する必要があります。実際には、これは、新しい製品またはアクティビティの設計においてデータ保護の原則を考慮する必要があることを意味します。GDPRはこの原則を第25条でカバーしています。

 

• 取扱活動の記録

個々の管理者、及び、該当する場合、管理者の代理人は、その責任において、取扱活動の記録を保管する必要があります。

 

記録に含むべき事項：

☑事業者の名称と連絡先

☑個人データを取り扱う理由

☑個人データとその本人の類型についての説明

☑個人データの提供先となる組織の類型

☑他の国又は組織への提供に関する事項

☑個人データの削除期限（可能であれば）

☑個人データの取扱いにあたり用いる安全管理措置の説明（可能であれば）

 

取扱いの適法性

個人データを処理するときは常に、これらの少なくとも1つが適用される必要があります。

 

(a) 同意：特定の目的で個人データを処理することについて、個人が明確な同意を与えた場合。

(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。

(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。

(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。

(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。

(f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由 のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。

 

同意の要件

取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明できるようにしなければなりません。

 

• 同意は「自由に与えられ、具体的で、情報に基づいた、明確なもの」でなければなりません。
• 同意の要求は、「他の事項と明確に区​​別可能」であり、「明確で平易な言葉」で提示されなければなりません。
• データ主体は以前に与えられた同意をいつでも取り下げることができ、あなたは彼らの決定を尊重する必要があります。
• また、13歳未満の子供は、親の許可を得た上でのみ同意を与えることができます。
• 同意の証拠書類を保管する必要があります。

 

個人の権利とは

企業がしなければならないことは、データを提供する人々の権利を保護することです。GDPRは個人に次の権利を提供します。

1. 通知を受ける権利
2. アクセス権
3. 修正する権利
4. 消去する権利
5. 処理を制限する権利
6. データの移植性の権利
7. 異議を申し立てる権利
8. 自動意思決定およびプロファイリングに関連する権利

 

世界における個人データ保護の動向について

アメリカのカリフォルニア州でも消費者プライバシー法（CCPA）が２０２０年１月に施行されました。昨今のグローバル化に伴い、世界中でオンライン識別子までも個人データとして取り扱おうとする動きが起きています。個人データ保護の対応は、日本企業にとって今後の海外進出に切り離せない大きな課題となっているのです。

 

最後に

今回は、GDPRの主要なポイントを1記事にまとめて説明しました。ご紹介した通り、GDPRのペナルティ（罰金）は、かなり厳しいものです。まずは、上記のGDPRの要求に沿って自社がGDPRに準拠しているか確認することを強くお勧めします。最初に確認する必要があるのは、サイト上の任意の場所で個人データを収集しているか、 たとえば、名前と電子メールアドレスを要求する連絡先フォームがある場合があります。 また、IPアドレスとCookieなどオンライン識別子の対応が万全かも合わせて確認しましょう。

 

当社では、GDPRへ準拠できているかの評価、および不適合箇所に対するアドバイザリーサービスをご提供しております。「自社が対応できているか分からない」という場合も、無料相談にてコーディネーターよりご案内いたします。GDPRについて気になるかたは下記よりご連絡ください。

 

お問合せはこちら