GDPRってなに?日本企業が対応しなければいけない事まとめ

個人情報保護のニュースは度々話題になっています。

広告の運用に普段携わっているとcookieを取得してユーザーを追跡するや、行動履歴に基づいたターゲティングは当たり前のように感じてしまいますが、一部メディアではそれが個人情報保護の観点から良いものなのか?という内容の報道があったりと物議をかもしています。

また、政府の個人情報保護委員会では企業のcookie利用について規制案を検討しているという発表もあったりと今後個人情報に対する取り扱いは厳しくなることが予想されます。

そのため今回は個人情報保護の為にEUで施行されているGDPRについて内容をまとめました。

GDPRとは?

GDPRとは「General Data Protection Regulation」の略で、日本語に訳すと「一般データ保護規則」というものになります。

個人情報の取り扱いをEU内で一括管理・保護するために実施された法的要件の事をさします。
個人情報の管理を徹底させるという目的と、個人の権利を強化して、問題が起きた際に法的な制裁を増大させることを目的として制定されたのがGDPRです。

GDPRには、個人情報保護に関してルールが定められており、個人には大きく次の3つの権利が保障されます。

(1) 知る権利(取得されたデータの利用方法をすべて開示しなければならない)
(2) 許可する権利(同意しないと個人情報を取得してはいけない)
(3) 忘れる権利(取得した個人情報を要求に応じて削除しなければならない

 

GDPRにおける個人情報の処理について

GDPRの要件で注意するべきは以下の2つです。

(1) IPアドレス・cookieも個人情報として取り扱う
(2) 個人情報を取得する際にはユーザーの合意が必要

 
現在の日本では、IPアドレス・cookieはユーザーがアクセスして来た時点で読み取る事ができますが、GDPR基準ではユーザーの合意がないとそれらの情報を読み取ることができません。

また個人情報を取得する場合には、企業側が自らの身元や連絡先、処理目的、第三者提供の有無、保管期間などについてユーザーに同意を得なければいけません。

GDPRの罰則について

GDPRの目的に法的な制裁を増大させるというものがありましたが、その罰則金はかなり大きく、最大で企業の年間売上高(全世界での売上合算計算)の4%以下、あるいは2000万ユーロ以下のいずれか高い方が適用されます。

円換算すると仮に1ユーロ=120円で計算すると、約24億円以下の罰則金という計算になります。
24億円ともなると企業にとっては大きな損害になります。

そして条件次第で、日本の企業もその罰則金のリスクを孕んでいるので注意が必要です。

日本企業はすぐの対応は必要?

現状日本では法制度が施行されていないのですが、条件によってはGDPRの対応をしなければいけない場合があります。

GDPRの対象企業

GDPR対応の対象となる企業は以下の条件に当てはまる場合になります。

(1) EUに子会社や支店、営業所などを有している企業
(2) 日本からEUに商品やサービスを提供している企業
(3) EUから個人データの処理について委託を受けている企業

 
端的に伝えるとEU圏でビジネスを行っている企業は、日本企業でも対象になるという事になります。

見落としがちなGDPR適応条件

EU圏でビジネスをしているというと「自分は関係ないや」と感じる方も多いかと思いますが、GDPRの概要には下記のような内容があります。

GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される。
GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。

・EEAのデータ主体に対し商品又はサービスを提供する場合
・EEAのデータ主体の行動を監視する場合

※EEA…「European Economic Area」の略称

 
つまり意図せずともEU圏のユーザーのアクセスがあった場合にはGDPR対応をする必要があるという事になります。
EU圏にいるユーザーのWeb上の行動データを取得する場合もGDPRの適応対象となるので、例えば日本企業が広告をEUの国に配信していたら、GDPR対応の必要性が出てきます。

またよくあるケースだと、

・短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
・日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
・日本から EEA内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
・日本から EEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

 
などもGDPRの対象になります。

GDPR対応って何をすればいいの?

現時点では日本のユーザーが対象で日本語対応のみの商品サービスであれば特別対応をする必要はないです。

ただし、先ほど述べたようにEU圏のユーザーがアクセスしている可能性もあるので、まずは自社がGDPR対応が必要かどうかからチェックをする事をお勧めします。

まずはEU圏内のアクセスが無いか調べる

自社サイトなどを、アクセス解析ツールを使用して、EU圏からのアクセスが無いかを調べてみてください。

もしEU圏からのアクセスがあった場合にはGDPRの対応が必要になります。またEU圏内のユーザーに向けた商品を展開していたらその方は早急に対応した方が良いです。

GDPR対応①関連規定の作成

GDPRの対応をするにはまず、GDPR関連の自社規定を策定して、ユーザーが見える形で明記する必要があります。

プライバシーポリシーなどに修正を加えて、GDPRに対する文章を追記しましょう。

大手の企業だと既に多くの企業がGDPRに関する規定を公開しているので、検索してみると日本企業がどのようにGDPRに対応しているのかが分かるかと思います。

GDPR対応②Webサイトの改修

ページにアクセスすると、「本サイトで取り扱われる情報について」のようなポップアップが出てきて「同意」ボタンを押すことを促すものが最もポピュラーな改修例かと思います。

ユーザー視点では流し見するのでほとんど気にしていないですが、あのようなポップアップの内容を熟読すると多くの場合、GDPRに関する規定の記載が書いてあるかと思います。

ユーザーがアクセスして来た時点でcookie等の情報を取得していいかの確認を取らないと、合意のないデータ取得としてGDPRの規定に反してしまうので、改修を行う際には、アクセスが発生した時点で合意するか否かの表示を出すようにしましょう。

まとめ

個人情報保護の体制強化は、自社サイトのリタゲやDSP等サードパーティーのcookie情報など、広告業界には影響が出てくる事が予想されます。

しかしEUでGDPRが実施された際には想定より影響度は少なかったようです。
それは、GDPRの実施に向けて多くのEU企業が事前の対応を行っていた事が要因です。

個人情報保護の流れは日本にも届いているので、法が施行されるのも時間の問題かと思います。
遅かれ早かれ実施が必要になってくるものだと思って、事前に対応を進めていく事をおすすめします。

▼海外のマーケティング情報はこちらをチェック!

ドイツ企業で増えつつある役職「Digital Traffic Manager」 ドイツ企業では、マーケティング領域における新たな役職として「Digital Traffic Manager」というポジショ...

海外のウェブマーケティングの情報をお届けするシリーズ「海外のマーケティング」。今回は世界一の人口を誇る超大国の中国のマーケティング情報をお届けします。日本と...

公式LINEに登録するだけでWeb集客に関する疑問を解消できます!

以下のコンテンツがすべて無料で受け取れます!

・コンバージョン数を最大化するオンライン講座
・Webマーケティングが学べるタベリナチャンネル
・過去100社以上の方が参加した厳選有料セミナー動画
・Web広告・サイトに関するオンライン無料診断
・専門家に気軽にWebマーケティングの相談ができる

今すぐ公式LINEに登録してコンテンツを受け取る
リスプラ公式LINE登録
マーケ脳社長
マーケ脳社長

リスマガ編集長の長橋真吾公式twitterにて最新情報配信中!

Web広告の最新情報、成功事例/Webマーケティング組織の作り方/サイト設計、ランディングページ構築/コンテンツマーケティング全般/セミナー集客、セミナー販売/ビジネスモデル設計/ビジネスシーンの悩み解消など、リスマガでは取り扱えない、現場の最前線情報をお送りしています。

登録QRコード

QRコード
現場の最前線情報を配信中、長橋真吾twitterをフォローする

登録QRコード

QRコード

関連記事一覧

リスマガ運営会社リスティングプラスの
最新セミナー情報です!

今すぐ詳細を確認して
セミナーに申し込みをする

リスマガ運営会社リスティングプラスの
最新セミナー情報です!

今すぐ詳細を確認してセミナーに申し込みをする