イギリスはEU離脱後もGDPRを施行する？今後もクッキーに要注意

ヨーロッパの個人データの関する違反で、多額の制裁金が発生した事例として、2020年の12月10日にフランスで、Googleが１億ユーロ、Amazonが3500万ユーロの支払いを要求されたというものがあります。両方合わせると約170億円という、個人データ関連ではヨーロッパで過去最高額の罰金となる事例ですが、気になる違反内容は「同意なしのクッキーの送付」でした。

クッキーも個人データ。同意が必要

EUの個人データに関する法律には、2018年から施工されているGDPR（EU一般データ保護規則）があります。これにより、何を個人データとして扱うかが明確になりました。GDPRで個人データとして定義されているのは、個人名や生年月日、カードの支払い情報などだけではなく、「クッキー(Cookie)」や「IPアドレス」も含まれています。また、ユーザーの同意なしに、個人データを収集することは禁じられ、収集する場合はそのデータを何に使用するかを伝えることが義務付けられています。クッキーに同意すると、毎回パスワードを入力しなくてもログインできる、興味のある情報が検索結果の上位に表示されるなど、ユーザーにとってのメリットもあります。しかし、いつどのようなWEBサイトを見ているか、どのようなブラウザを使っているかなどの情報を第三者へ渡すことにもなります。これらの情報は、広告配信などのマーケティングに利用されることも多く、それを好ましく思わないユーザーも存在します。そのようなユーザーの権利も守らなくてはなりません。（GDPR法については、こちらの記事もご覧ください。→GDPRとは？EUの個人データに関する法律は日本にも影響あり？）

GDPRだけではなくEU各国の国内法も

ヨーロッパの国々にはEUの法律だけではなく、その国ごとに異なる法律もあります。GoogleとAmazonが違反となったのは、GDPR法ではなくフランスの国内法で、情報処理および自由に関する全国委員会（CNIL）によって罰金が科されました。これほどまでに多額の制裁金となった理由は、フランスのインターネットユーザーの９割がGoogleを利用しており、フランスのEコマースビジネスの2割のシェアをAmazonが持っているため、約5000万人のユーザーが影響受けたからだと説明されました。また、間接的ではあるものの、両社がクッキーによって収集されたデータを利用し、多額の利益を得ていることも付け加えられました。この例からは、ヨーロッパそれぞれの国の法律にも大変な効力があることが分かります。中小企業が同様の違反をした場合、影響の及ぶユーザー数から推測して、ここまで多額の制約金を請求されるとは考えにくいですが、個人を大切にする文化のあるヨーロッパでは、個人データに関するルールが大変重要視されているといえます。

EU離脱後のイギリスはGDPRを施行する？

イギリスには、GDPRが施行される2018年よりも前からPECRという個人データの取り扱いに関する国内法があります。現状ではGDPRの方が規定も罰則も厳しく、EU離脱後もGDPRのルールをそのまま使用する見込みが立っているため、すでにGDPRに適応しているWEBサイトがあれば、EU離脱に伴って修正を行う必要はなさそうです。しかし、イギリスにはフランスほどの厳しい国内法がないとはいえ、GDPRの罰則も重いことを忘れてはなりません。

GDPRの制裁金、イギリス国内の事例

GDPRの制裁金の事例として、イギリスでは、2020年10月にブリティッシュエアウェイズ（BA)に科された2000万ポンドがあります。これは、BAのWEBサイトが2か月間に渡りサイバー攻撃を受け、40万人以上のユーザーが影響を受けたことに対する制裁でした。サイバー攻撃を受けたという点ではBAも被害者だといえるかもしれませんが、十分なセキュリティー対策を行っていなかったため、責任を追及されました。イギリスやヨーロッパ向けのWEBサイトでは、クッキーだけではなく、個人情報の取り扱いにも十分注意が必要であることが分かります。

GDPRに適応したWEBサイトを製作するなら

インバウンドやアウトバウンドビジネス向けに、英語や多言語のWEBサイトは必要不可欠であるといえます。多言語のWEBサイトを作成する場合は特に、GDPRに注意が必要です。ヨーロッパから閲覧可能なサイトであれば、日本のサーバーを使っている、ヨーロッパに法人がないなどの条件は関係ありません。弊社では、ヨーロッパ向けのWEBサイトに関するアドバイスや、作成も承っております。「お問い合わせ」より、お気軽にご連絡ください。