GDPRとは何か、日本企業が対応すべきポイントは?

トレンド

2018年5月25日、EUが「一般データ保護規制(GDPR)」を施行しました。これを受け、新規制への対応が間に合わなかった海外地方紙が一時的にサイトを閉鎖するなど、数々の混乱が見られました。GDPRとはいったい何なのか? Webサイトに与える影響を含めて解説します。

GDPRは「個人データ」の「処理」と「移転」に関する法律

GDPR(General Data Protection Regulation)は「EU一般データ保護規則」と呼ばれている法律で、2018年5月25日に適用が開始されました。この法律は、「個人データ」の「処理」と「移転」を適正に管理することを企業や組織に義務付けるもので、違反すると厳しい行政処分が下されます。

GDPRはEUで施行されている法律ですが、欧州経済領域(EEA)内に支店がない企業であっても対象となることに注意しなければなりません。EEA内にいる人物とデータのやりとりする際も規制の対象となるからです。企業や組織の大小に区別はなく、場合によってはデータ保護責任者や代理人が必要になるケースもあります。

GDPRの対象となる個人データ

では、この法律で守られている個人データには、どのようなものがあるのでしょうか? GDPRでは、「識別された、または識別され得る自然人に関するすべての情報」を個人データと定義しています。このため、「氏名」や「識別番号」、「所在地データ」、「メールアドレス」といった情報はもちろん、「オンライン識別子(IPアドレス・クッキー(Cookie)」や「身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因」なども個人データに該当します。データ単体では個人を特定できなくても、「複数のデータを組み合せることで個人の識別につながる」と考えられる場合は個人データとみなされるのです。

GDPRが適用される範囲は、データの「処理」と「移転」を行う場合です。例えば、クレジットカード情報の保存、メールアドレスの収集、従業員の氏名・職務・所属事業所の住所・写真入りリスト作成などは「処理」にあたります。

GDPRが日本に与える影響

EU向けのWebサイト(EUでも閲覧可能なWebサイト)を開設し、クッキーを使って閲覧者の情報を得ている場合はGDPRの対象となります。この場合、クッキーポリシーを表示し、個人情報取得の許可を得なければなりません。氏名やメールアドレスなどの入力を求めないWebサイトであっても、Googleアナリティクスのようなアクセス解析サービスを利用している場合は、「個人データを取得している」とみなされるため対策が必要です。

GDPR施行に伴い、Googleアナリティクスのデータ保持期間も変更が可能になっています。初期設定ではデータ保存期間が26か月に設定されているので、状況に合わせて変更しておくとよいでしょう。

GDPRは、日本の企業にも少なからずの影響を与える法律です。特にクッキーは多くの企業が利用している技術となるため、適切な対策が必要になります。

GDPRに対して日本企業が行うべき対策

現在、GDPRの対象企業でなくても、今後どうなるかはわかりません。むしろ、GDPR対応企業として認知されることで、「個人情報を適切に管理している企業」という認識が生まれ、プラスに働く可能性があるかもしれません。新規に制作するアプリやWebサイトは、設計段階からプライバシー対策を考慮しておく必要があるのではないでしょうか。

また、クッキーに依存しないサービスを利用するのもひとつの方法です。例えば、京セラコミュニケーションシステムが提供するクラウド型のコンテンツマッチングサービス「とりもち」は、ユーザが閲覧しているコンテンツと、サイト運営者が保有するWebサイトコンテンツを独自のテキスト解析技術により紐付けして、類似性の高いコンテンツを自動配信(表示)する仕組みになっています。
さらに、「間接的につながりがあるキーワード」も自動計算によって配信されるという特長を備えています。例えば「ワイン」と入力した場合、「赤ワイン」や「白ワイン」などの情報が選ばれるのが一般的ですが、「とりもち」ではコンテンツ内に含まれるキーワードをもとに「チリ」や「健康効果」などの項目も表示される仕組みになっています。
「とりもち」の詳細は、下記ページよりご確認いただけます。
機能紹介 - とりもち

このようにクッキーを使用しないサービスを利用すると、GDPRの影響を受けることなくWebサイトを運営できるようになります。積極的に活用していくとよいでしょう。

まとめ:まずは社内の情報を整理し、対処しましょう

今回のGDPRをはじめ、今後は「プライバシーの保護」に配慮した企業運営やサイト制作が求められるようになっていく傾向があります。こうした時代の変化に対応するには、社内の情報を整理すると同時に、クッキーに依存しないサービスも選択肢に加えていく必要があります。