2018年5月25日に施行されたEU一般データ保護規則(以下、GDPR)と、その対策方法に関して、本ページで解説していきます。
GDPRとは
GDPRとは、EUが定めたデータ規則のことをいい、正式名称「General Data Protection Regulation」の頭文字をとった略称です。
EU圏内の個人データの保護を主目的としており、具体的には、「EU圏の各人が自分自身の個人情報を特定し得るデータの保存、活用などを自らコントロールする権利を保障する規則」と考えられます。
「個人」を主語としていますが、彼らのデータを取り扱う「企業」は、GDPRで保護すべき人々の権利を侵害しないように、対策を行っていく必要があります。
GDPRの対象となる企業
GDPRはEUの規則ではありますが、以下の場合は日本企業でもGDPRの対象となります。
- EUに子会社や支店、営業所などを有している企業
- 日本からEUに商品やサービスを提供している企業
- EUから個人データの処理について委託を受けている企業
引用:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項
また、上記に該当しない場合でも、以下のように一時的な条件によってGDPRの対象となってしまう場合もあります。
- EU圏内のユーザーのWEB上の行動データを取得する場合
この「EU圏内のユーザー」というのは、元々EUに籍を置いているユーザーに加えて、一時的にEUに滞在している日本人も含まれます。つまり、EU在住の人もしくは旅行や出張でEUに滞在している人が日本のサイトにアクセスした場合、そのサイトの運営企業もGDPRの対象になるということです。
知らずのうちにGDPRの対象となっている場合がありますので、一度確認することをおすすめします。
GDPRの対象となる個人データ
GDPRでの保護対象となる個人データは、例として以下のようなものが挙げられます。
- 氏名
- 住所
- メールアドレス
- オンライン識別子(IPアドレス、クッキー)
- クレジットカード情報
- パスポート情報
ECサイトなどでは「メールアドレス」や「クレジットカード情報」など取り扱っている場合が多いですが、注目すべきは「オンライン識別子(IPアドレス、クッキー)」です。
昨今のWEBサイトではマーケティング活動の1つとしてWEBサイトに訪れたユーザーのIPアドレスやCookieを保存して活用している企業が数多く存在するので、「自社のWEBサイトを持っている=GDPRの対象となり得る」という認識を持っておくことが重要となります。
まとめ
上記のような対象企業がGDPRへの対応を怠っていると認められた場合、重大な制裁を課せられる可能性があるため、各企業はGDPRを理解し、適切な対策を行う必要があります。
0コメント