GDPRってなに?日本企業が対応しなければいけない事まとめ

  • 2020.2.19
  • 1,838 Views

個人情報保護のニュースは度々話題になっています。

広告の運用に普段携わっているとcookieを取得してユーザーを追跡するや、行動履歴に基づいたターゲティングは当たり前のように感じてしまいますが、一部メディアではそれが個人情報保護の観点から良いものなのか?という内容の報道があったりと物議をかもしています。

また、政府の個人情報保護委員会では企業のcookie利用について規制案を検討しているという発表もあったりと今後個人情報に対する取り扱いは厳しくなることが予想されます。

そのため今回は個人情報保護の為にEUで施行されているGDPRについて内容をまとめました。

GDPRとは?

GDPRとは「General Data Protection Regulation」の略で、日本語に訳すと「一般データ保護規則」というものになります。

個人情報の取り扱いをEU内で一括管理・保護するために実施された法的要件の事をさします。
個人情報の管理を徹底させるという目的と、個人の権利を強化して、問題が起きた際に法的な制裁を増大させることを目的として制定されたのがGDPRです。

GDPRには、個人情報保護に関してルールが定められており、個人には大きく次の3つの権利が保障されます。

(1) 知る権利(取得されたデータの利用方法をすべて開示しなければならない)
(2) 許可する権利(同意しないと個人情報を取得してはいけない)
(3) 忘れる権利(取得した個人情報を要求に応じて削除しなければならない

 

GDPRにおける個人情報の処理について

GDPRの要件で注意するべきは以下の2つです。

(1) IPアドレス・cookieも個人情報として取り扱う
(2) 個人情報を取得する際にはユーザーの合意が必要

 
現在の日本では、IPアドレス・cookieはユーザーがアクセスして来た時点で読み取る事ができますが、GDPR基準ではユーザーの合意がないとそれらの情報を読み取ることができません。

また個人情報を取得する場合には、企業側が自らの身元や連絡先、処理目的、第三者提供の有無、保管期間などについてユーザーに同意を得なければいけません。

GDPRの罰則について

GDPRの目的に法的な制裁を増大させるというものがありましたが、その罰則金はかなり大きく、最大で企業の年間売上高(全世界での売上合算計算)の4%以下、あるいは2000万ユーロ以下のいずれか高い方が適用されます。

円換算すると仮に1ユーロ=120円で計算すると、約24億円以下の罰則金という計算になります。
24億円ともなると企業にとっては大きな損害になります。

そして条件次第で、日本の企業もその罰則金のリスクを孕んでいるので注意が必要です。

日本企業はすぐの対応は必要?

現状日本では法制度が施行されていないのですが、条件によってはGDPRの対応をしなければいけない場合があります。

GDPRの対象企業

GDPR対応の対象となる企業は以下の条件に当てはまる場合になります。

(1) EUに子会社や支店、営業所などを有している企業
(2) 日本からEUに商品やサービスを提供している企業
(3) EUから個人データの処理について委託を受けている企業

 
端的に伝えるとEU圏でビジネスを行っている企業は、日本企業でも対象になるという事になります。

見落としがちなGDPR適応条件

EU圏でビジネスをしているというと「自分は関係ないや」と感じる方も多いかと思いますが、GDPRの概要には下記のような内容があります。

GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される。
GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。

・EEAのデータ主体に対し商品又はサービスを提供する場合
・EEAのデータ主体の行動を監視する場合

※EEA…「European Economic Area」の略称

 
つまり意図せずともEU圏のユーザーのアクセスがあった場合にはGDPR対応をする必要があるという事になります。
EU圏にいるユーザーのWeb上の行動データを取得する場合もGDPRの適応対象となるので、例えば日本企業が広告をEUの国に配信していたら、GDPR対応の必要性が出てきます。

またよくあるケースだと、

・短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
・日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
・日本から EEA内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
・日本から EEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

 
などもGDPRの対象になります。

GDPR対応って何をすればいいの?

現時点では日本のユーザーが対象で日本語対応のみの商品サービスであれば特別対応をする必要はないです。

ただし、先ほど述べたようにEU圏のユーザーがアクセスしている可能性もあるので、まずは自社がGDPR対応が必要かどうかからチェックをする事をお勧めします。

まずはEU圏内のアクセスが無いか調べる

自社サイトなどを、アクセス解析ツールを使用して、EU圏からのアクセスが無いかを調べてみてください。

もしEU圏からのアクセスがあった場合にはGDPRの対応が必要になります。またEU圏内のユーザーに向けた商品を展開していたらその方は早急に対応した方が良いです。

GDPR対応①関連規定の作成

GDPRの対応をするにはまず、GDPR関連の自社規定を策定して、ユーザーが見える形で明記する必要があります。

プライバシーポリシーなどに修正を加えて、GDPRに対する文章を追記しましょう。

大手の企業だと既に多くの企業がGDPRに関する規定を公開しているので、検索してみると日本企業がどのようにGDPRに対応しているのかが分かるかと思います。

GDPR対応②Webサイトの改修

ページにアクセスすると、「本サイトで取り扱われる情報について」のようなポップアップが出てきて「同意」ボタンを押すことを促すものが最もポピュラーな改修例かと思います。

ユーザー視点では流し見するのでほとんど気にしていないですが、あのようなポップアップの内容を熟読すると多くの場合、GDPRに関する規定の記載が書いてあるかと思います。

ユーザーがアクセスして来た時点でcookie等の情報を取得していいかの確認を取らないと、合意のないデータ取得としてGDPRの規定に反してしまうので、改修を行う際には、アクセスが発生した時点で合意するか否かの表示を出すようにしましょう。

まとめ

個人情報保護の体制強化は、自社サイトのリタゲやDSP等サードパーティーのcookie情報など、広告業界には影響が出てくる事が予想されます。

しかしEUでGDPRが実施された際には想定より影響度は少なかったようです。
それは、GDPRの実施に向けて多くのEU企業が事前の対応を行っていた事が要因です。

個人情報保護の流れは日本にも届いているので、法が施行されるのも時間の問題かと思います。
遅かれ早かれ実施が必要になってくるものだと思って、事前に対応を進めていく事をおすすめします。

▼海外のマーケティング情報はこちらをチェック!


コメント

カテゴリー別記事

その他広告関連

獲得効率と効果性を最大化する

Web広告の基本から最新のノウハウまで公開

無料資料ダウンロード

 

【リスマガ限定】出版したばかりの
代表長橋の書籍『第一章』を無料プレゼント!
DX時代のデジタルマーケティング攻略本

YouTubeで企業チャンネルが成功するために実践した施策を公開します。

資料ダウンロード

 

YouTube動画マーケティングがわかる
企業チャンネル最新攻略法

YouTubeで企業チャンネルが成功するために実践した施策を公開します。

資料ダウンロード

 

労務費・外注費・経費を削減して売上アップ
専門チームを外部で育てるラボ型のWebチーム

経費を削減して売り上げアップする方法を無料で公開!

資料ダウンロード

 

見込客と関係性を構築して売上アップする
育成型マーケティング新戦略

見込み客と関係性を構築して売上アップする育成型マーケティング新戦略

資料ダウンロード

MAIL MAGAZINE

最新のマーケティング情報をお届け。
リスプラマガジンでしか手に入らない情報を受け取りましょう。

清水 雄飛

株式会社リスティングプラス コンサルタント マーケティングを学び、1と0で測れない感情に強く興味を抱く。消費者の感情を考え抜ける仕事を探していた所、リスティングプラス代表・長橋の言葉に感銘を受け同社に入社。Web広告を通していかに消費者に心を寄せられるかを探求している。 ロジカルな思考と熱い心を併せ持つコンサルタント。座右の銘は「利他の心」。

記事一覧を見る

X

【リスマガ限定】
出版したばかりの書籍『第一章』をプレゼント
DX時代のデジタルマーケティング攻略本

経産省レポート「DXに対応できない企業は業務効率や成長率の低下により競争力を失い、2025年以降最大で年間12兆円の経済損失が生じる」
DXしないと競争力を失う時代に、日本の中小企業がまずすべきことを解説。(無料)

無料で第1章をダウンロードする