GDPRという言葉を聞いたことはあるでしょうか?
近年個人情報の扱いでGDPRという言葉を耳にすることが多くなったと思います。Web上では個人情報の扱いについてはいろいろ議論されることが多く、海外ではWeb上の個人情報の扱いに関してGDPRという法律が施行されるようになりました。そんなGDPRとはなにか?日本への影響はあるのか?について見ていきたいと思います。
GDPRとは?
GDPRとは、「EUデータ保護規制(GDPR:General Data Protection Regulation)」のことで「一般データ保護規制」と言われます。
GDPRは、欧州からのアクセスとなる個人データやプライバシー保護に関する規定となり、個人情報に関するデータの「処理」と「移転」に関することを規定としています。
Web上の個人一般データとは何か?
Web上で識別される情報として、IPアドレスやCookieなどがあります。
注意しておくべき点として、GDPRではWeb上で個人を特定するIPアドレスやCookieなどが個人の一般データに含まれる、という点です。
Cookieは今まで個人情報として扱われることはありませんでしたが、GDPRの範囲では個人データとみなされます。
Cookieとは何か?については以下をご覧ください。
企業は個人情報の取扱いについて同意を得なければいけない
企業などは、Web上で個人情報を扱う場合、それらの扱いについてユーザーに同意を求め、了承を得なければいけません。また、その際、連絡先、個人データ利用の目的、第三者提供の有無、保存期間なども明記して上で、同意を得ます。
GDPRの罰則は重い…
GDPRの罰則は重いです。
最大で前年度の全世界売上高の4%、もしくは2,000万ユーロのどちらか高いほうが制裁金として課せられることになっています。
たとえば1ユーロを125円とすると、日本円で25億円となり、最低でも25億円を支払わなければならないということになります。
日本のWebサイトではGDPRをどのように考えればいいのか?
気になるのが日本でのWebサイトの上の個人情報を扱いについてですが、どのような場合だと、日本でもGDPRを気にしなければいけないのでしょうか。
主に以下のような場合、日本でもGDPRを遵守しなければなりません。
- GDPR対象例
- 会社がEUに支店や営業所などを置いている場合
- 日本からEU圏内に商品やサービスを提供している場合
- EUから個人のデータ処理を引き受けている場合
EU圏内のユーザーの個人データを扱う場合はGDPRの適応範囲となります。
今後はCookieの規制が強くなっていく
世界各国でCookieの規制は強化される流れに向かっています。
まだ日本では対策をとる必要はない、と思っていても、次第に強化されていくことは目に見えてわかっているので早めの対策が必要となります。
まとめ:今後の動向について
Cookieは便利なものだけに、今後どのように扱っていくか、その動向に注視する必要があります。
Cookieの規制が強くなっていけば、当然アドテクノロジー系の企業はそれら対策をしなければなりませんし、GDPRやCookie法などの規制に対応しているかどうかが他社との差別化要因にもなり得ます。
ぜひご参考にしてみてください。
