Pointblank Promotions logoPointblank Promotions logo

NEWS

GDPRとは?EUの個人データに関する法律は日本にも影響あり?

2018.06.20

GDPR法

日本では2017年の5月に、個人情報保護法の改正がなされ、より近代的で、デジタルに対応した規制が定められました。

ヨーロッパでは1995年からEUデータ保護指令が施行されていましたが、日本の個人情報保護法改正と同じような理由のため、2018年の5月より、「一般データ保護規則」(General Data Protection Regulation、GDPR法)が施行されることになりました。

日本の企業ならば、個人情報保護法を守っていれば良いと考えてしまいがちですが、GDPR法の中には、日本のようなEUの経済領域外に、EUの個人データを持ち出す場合には、企業は拘束的企業準則の策定、標準契約条項の締結など、一定の要件を満たす必要があることも明記されています。

したがって、海外ですでに活動している企業や、今後の進出を考えている企業にとっては、少なからず影響が出てくることが考えられます。

追記:日本は個人方法保護法のような規制があるため、「十分性認定対象国」として扱われることになりました。これによって、日本-EU間の個人データの移転は、比較的スムーズに行うことが可能となります。

GDPRとは?簡単にわかりやすく解説

GDPR法の対象となるデータは、顧客・EU圏内の従業員などの個人データの中で、個人の特定につながるもの全てとなります。

したがって、氏名、住所、電話番号、Eメールアドレス、顔写真、銀行口座の詳細、医療関連の情報に加えて、SNSの投稿、IPアドレス、クッキーの情報など、デジタルに関する個人情報も含まれます。

またGDPR法では、任意性、具体性、理解しやすい、曖昧さの回避、能動的な同意の、5つが基本原則となり、これに乗っ取ったデータの取り扱いについて定められています。

日本の企業がGDPRに対応するには

・何のためにデータが必要かを明確に

データ収集の際、それを何に、いつまで、どのように使うのかを具体的に明確に示す必要があります。情報をどのように管理するのかを明記し、目的以外での使用はしないことを厳守しなければなりません。

・同意のための説明を分かりやすく

情報を収集する同意が必要になるのは言うまでもありませんが、その説明文は法律用語を羅列するような難解なものではなく、一般の人が読んで理解できるものにする必要があります。

また、それが能動的な同意である必要があるため、ショッピングサイト等でよく目にするような「同意する」に自動でチェックが入っているという仕様は、違反となります。

また、任意性という観点から見て、提供した情報をいつでも撤回できるよう、その方法も明記しなければなりません。

・すでにあるデータは再確認を

GDPR法の施行前に集めたEU圏内のデータがあるなら、上記に挙げたようなGDPR法に基づいた同意を再度取ることが無難でしょう。

違反とならないために

個人情報保護法の下でも言われていることではありますが、オンライン上で個人情報を収集する場合は、サイト上にプライバシーポリシーを明記した個人情報保護規定のページを設けることが得策と言えるでしょう。

上記で挙げたような項目を網羅していれば、既存のフォーマットのコピーでも良いと思われがちですが、情報の使用用途は各々異なるため、自社にあった内容で作成することが望ましいです。

GDPR法には罰金などの罰則もあるため、EUとの取り引きを嫌煙してしまうかもしれませんが、今までの個人情報の取り扱い方法を少し見直せばクリアできる場合が多いのではないでしょうか。

弊社では、GDPR法に関するアドバイスや、GDPR法の条件をクリアーした海外向けWEBサイトの制作も承っています。ご興味のある方は、ページ下の「お問い合わせ」より、お気軽にご連絡ください。

 

最近の記事

カテゴリー