個人情報は適切に扱えている？EU一般データ保護規則（GDPR法）について

昨年2017年の5月には、日本では個人情報保護法の改正がなされ、より近代的で、デジタルに対応した規制が定められました。実はヨーロッパでも同じような法律の改正がなされ、今年2018年の5月より、EUデータ程規制（GDPR法）が施行されました。日本の企業ならば、個人情報保護法を守っていれば良いと考えてしまいがちですが、GDPR法の中には、日本のようなEUの経済領域外に、EUの個人データを持ち出す場合には、企業は拘束的企業準則の策定、標準契約条項の締結など、一定の要件を満たす必要があることも明記されています。したがって、海外ですでに活動している企業や、今後の進出を考えている企業にとっては、少なからず影響が出てくることが考えられます。

GDPR法とは？

GDPR法の対象となるデータは、顧客・EU圏内の従業員などの個人データの中で、個人の特定につながるもの全てとなります。したがって、氏名、住所、電話番号、Eメールアドレス、顔写真、銀行口座の詳細、医療関連の情報に加えて、SNSの投稿、IPアドレス、クッキーの情報など、デジタルに関する個人情報も含まれます。またGDPR法では、任意性、具体性、理解しやすい、曖昧さの回避、能動的な同意の、5つが基本原則となり、これに乗っ取ったデータの取り扱いについて定められています。

具体的に守らなければならないことは？

・何のためにデータが必要かを明確にデータ収集の際、それを何に、いつまで、どのように使うのかを具体的に明確に示す必要があります。情報をどのように管理するのかを明記し、目的以外での使用はしないことを厳守しなければなりません。・同意のための説明を分かりやすく情報を収集する同意が必要になるのは言うまでもありませんが、その説明文は法律用語を羅列するような難解なものではなく、一般の人が読んで理解できるものにする必要があります。また、それが能動的な同意である必要があるため、オンライン上ありがちな「同意する」に自動でチェックが入っているというような仕様は、GDPR法の下においては認められません。また、任意性という観点から見て、提供した情報をいつでも撤回できるよう、その方法も明記しなければなりません。・すでにあるデータは再確認をGDPR法の施行前に集めたEU圏内のデータがあるなら、上記に挙げたようなGDPR法に基づいた同意を再度取ることが無難でしょう。

サイト上に明記しておくのが得策

個人情報保護法の下でも言われていることではありますが、オンライン上で個人情報を収集する場合は、サイト上に自社の個人情報保護規定のページを設けることが得策と言えるでしょう。上記で挙げたような項目を網羅していれば、既存のフォーマットのコピーでも良いと思われがちですが、情報の使用用途は各々異なるため、自社にあった内容で作成することが望ましいです。GDPR法には罰則もあるため、EUとの取り引きを嫌煙してしまうかもしれませんが、今までの個人情報の取り扱い方法を少し見直せばクリアする場合が多いため、必要以上に恐れる必要はないでしょう。