販促レポート

2018/05/17 ニュース時事

今すぐ対策!いよいよ試行の一般データ保護規則とは?

いよいよ5月25日から一般データ保護規則(GDPR)が試行されます。EU圏の法律ですが条件を満たせば日本企業も適用の対象で、違反の制裁金はなんと数億円以上!なんだそうです。本日は、GDPRの概要と対策方法についての解説です。

一般データ保護規則(GDPR)とは?
今すぐ対策!いよいよ試行の一般データ保護規則とは?

一般データ保護規則(GDPR)の概要
一般データ保護規則(以下GDPR)とは、欧州経済領域(以下EEA)であるEU加盟国とアイスランド、リヒテンシュタイン、ノルウェーの3カ国を含む31カ国で制定された個人情報保護に関する法律のことで、主に個人情報の移転や処理に関する取り決め・要件が定められています。

以前は、EUデータ保護指令という法律が適用されており、各国間によって独自のルールが作られていました。しかし、2016年4月27日に制定されたGDPRは、EU全体の統一的な法律で、個人情報を管理する団体・企業への制裁・罰則強化が加えられ、各個人が個人情報を保有・管理する権利がより強化されています。

GDPRでは、主に以下のような個人を識別できる情報を「個人情報」と定義しています。
  • 氏名
  • 住所
  • マイナンバー
  • メールアドレス/電話番号
  • IPアドレス
  • Cookie
  • カード情報
  • パスポート
  • 免許証番号などなど

一般データ保護規則(GDPR)の制裁金
GDPRはEUで制定された法律ではありますが、要件を満たせば日本国内の企業もGDPRの対象になります。規定を違反し罰則対象となった場合、制裁金は違反内容によって以下の2つに分類されます。
  • 企業の全世界年間売上高の2%あるいは1000万ユーロ(2018年5月15日現在では約13億円)のいずれか高い方
  • 企業の全世界年間売上高の4%あるいは2000万ユーロ(2018年5月15日現在では約26億円)のいずれか高い方

日本企業が制裁対象になることはあまり考えられませんが、現状では不透明のため、油断は禁物。必ず自社がGDPRの対象でないか確認しましょう。
参考:JETRO(日本貿易振興機構)|EU 一般データ保護規則(GDPR)

Googleアナリティクスのデータへの影響
GDPRの施行によって、過去のGoogleアナリティクスのデータが消える?
ネット上では、GDPRによってGoogleアナリティクスの過去データが消えてしまうということで、設定を「永続的に保持」にすることを推奨する記載が一部で見られます。

しかし、実際消えるデータは「ユーザー単位」や「イベント単位」のデータであり、ほとんど分析などに影響は出ないと言われています。設定を「永続的に保持」したことで、GDPRに対する違反と見なされる可能性も考えられるため、現時点では無闇矢鱈に設定を変更することはおすすめできません。



一般データ保護規則(GDPR)の対象になるケース
今すぐ対策!いよいよ試行の一般データ保護規則とは?

では、どのような企業がGDPRの対象になるのでしょうか。以下に要件をまとめてみました。

EEA内に支店や関連会社がある場合
EEA内に自社の支店、関連会社、海外本社、営業代理店などがある場合、GDPRの適用対象になる可能性が極めて高いです。現地の担当者、システム会社、弁護士などと協議を進めて、対応を決めていくのがベターです。

EEA内の法人・個人と個人情報に関する商取引を行っている場合
例えば、旅館・宿泊業、EEA内にある企業の決済システム代行、カスタマーサポート、データセンター、サーバー提供などを行っている企業がここに該当します。ちなみに、取得・管理する個人情報がEEA内への出張者、滞在者、旅行者のものであっても、GDPRは適用されます。

EEA内の消費者に商品またはサービスを提供している場合
EEA内の個人に対して商品やサービスを提供している場合は、GDPRの対象になると予想されます。ただし、EEA内の個人が、EEA内の言語や配送地域、決済システムに対応していない日本国内のサイトを閲覧・利用した場合は、GDPRの対象から外れる可能性が高いそうです。



一般データ保護規則(GDPR)で必要な対策とは?
今すぐ対策!いよいよ試行の一般データ保護規則とは?

もし、GDPRの対象だった場合、具体的にどのような対策を行う必要があるのでしょうか?それは以下の5つです。

1.データ保護担当責任者(DPO)を設置する
「公的機関や団体によって個人情報が処理される場合」、「大規模な個人情報の定期的、系統的監視が必要な場合」、「判決、犯罪等の特別な個人情報を処理する場合」のいずれかに該当する場合、DPOの設置が義務付けられています。データ保護法令と実務に明るい従業員または外部委託者を指名する必要があります。

2. GDPRに基づいた社内ガイドラインを作成する
個人情報保護法に基づいたガイドラインから、一般データ保護規則(GDPR)に基づいたものへリニューアルし、全社員に周知徹底しましょう。現時点では、違反のラインが不透明なため、社内でガイドラインを作成し、認識を統一させることが大切です。

3.GDPRに準拠した、広告やアクセス解析タグにする
Google Adwordsなどの広告ツール、Googleアナリティクスなどのデータ解析ツールでは、タグを通してユーザーを特定できる情報を収集することができます。GDPRで保護対象となっている情報を含まないように、タグの設定を変更しましょう。

4.GPSデータ、IPアドレスを匿名化する
ツールやシステムを使って、位置情報等が把握できるGPSデータやIPアドレスといった情報を匿名化することで、GDPRに抵触するリスクを回避できます。ただし、ツールやシステムは費用も高額になることも多く、導入は慎重に検討しましょう。

5.ピギーバックがないかチェックする
ピギーバックとは、一定のタグが作動すると同時にタグを作動させる通信方法で、通信負荷を抑えられるメリットがあります。しかし、不正な情報抜き取りの手法として悪用されることもあり、気づかぬうちに設置されているケースもあります。必ずタグに不正がないか入念に確認しましょう。


いかがでしたか。
現状では、日本企業へのGDPRの適用範囲、制裁金額は不透明な部分が多いです。しかし、不透明だからこそ、慎重に対応することが大切です。「気がついたら実はそうだった・・・」では後の祭り。必ず自社がGDPRの対象でないか確認しましょう。
なお、本稿は【いよいよ施行のEU「一般データ保護規則(GDPR)」】を参考に執筆させていただきました。さらに、詳しくGDPRについて知りたい方は、JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブックを御覧ください。


<ライタープロフィール>
担当ライター:ryusuke
WordPressサイト制作/Web集客の専門家。大手広告代理店にて、百貨店や出版社のリスティング広告運用を担当。その後独立、広告代理店で培ったSEOやデータ分析の知見を活かし、個人メディアを運営する傍らフリーのコンテンツライターとして活動中。執筆テーマは、集客やマーケティングなどビジネス関連、グルメや音楽関連。
公式ブログ
公式フェイスブック

 

販促レポートは、特集記事や販売促進コラム、オフィスでの問題解決など、皆さんのビジネスに少しでも役立つ情報をお届け。編集長の弊社代表と様々な分野で活躍する若手ライター陣によって、2008年より地道に運営されております。

 

 


★このページを友達に伝えよう:

 

FOLLOW @pqnavi

LIKE @pqnavicom

 

このレポートに関連するノベルティ素材

ノベルティ:[防犯グッズ] NEWアルミホイッスル

名入れ対応品推奨品

[防犯グッズ] NEWアルミホイッスル アソート(指定不可)

定価:90円

卸値:50円


ノベルティ:[防犯グッズ] スタビリティ 防犯ブザー 身の用心Neo

名入れ対応品推奨品値引き商品

[防犯グッズ] スタビリティ 防犯ブザー 身の用心Neo

定価:1,000円

卸値:625円


ノベルティ:[防犯グッズ] フラットホイッスル

名入れ対応品

[防犯グッズ] フラットホイッスル 色柄指定不可

定価:100円

卸値:50円


<< 前のレポート

次のレポート >>


販促レポート一覧へ
販促レポートバックナンバー


★関連エントリー:

カテゴリ:<ニュース時事> の一覧

 

 

スピード印刷

 

[お探しの検索ワードはコチラですか?]

記念時計大人の事情カードホルダースポーツ電子メモポーチアドバッグ小銭入れ