印刷範囲
全体プリント
本文プリント

ウェブにおけるGDPRへの暫定対応

投稿日:

いよいよ明日、2018年5月25日から、ヨーロッパにおける個人情報保護法ともいえる「一般データ保護規則」(General Data Protection Regulation:以下、GDPRと略します)が施行されます。

GDPRとは

従来、EUでの個人情報保護では1995年に採択された「EUデータ保護指令」(95/46/EC指令)が適用されていましたが、GDPRに置き換わり、以下のような変更があります。

  • EEAにおける個人情報保護の取り組みの強化
  • 違反した場合には多額の制裁金の賦課
  • EEA域内に拠点がない場合でも適用される

※EEA…28のEU加盟国とアイスランド、リヒテンシュタイン、ノルウェーの合計31か国

この規則により、EEAの域内に居住される市民の個人情報に関する権利が強化され、その裏返しとして個人情報を管理する側の義務も重くなります。

具体的には、アクセス権、訂正権、削除権、処理を制限する権利、データポータビリティ-の権利、異議を述べる権利、プロファイリングを含む自動処理に基づく決定に服されない権利などが付与されます。

一方、管理者側には、処理の安全性を担保する安全措置、個人データ侵害時の監督機関への通知、域外の管理者による代理人の選任、データ保護担当者(DPO)の任命、個人情報収集に際の通知と同意、EEA域外の第三国へのデータ移転に関する規定の遵守といった義務が生じます。

これらの義務に違反した場合、2,000万ユーロ(1ユーロ=約130円計算で約26億円)、もしくは前会計年度の全世界年間売上高の4%までのいずれか高い方という莫大な額が制裁金として課せられます。

日本企業のウェブサイトになぜ関係するのか

今回、多くの日本企業に関係しているのは、なんといってもEEA域内に拠点(海外子会社や事務所)がない場合でも適用されるという規定が加わったためです。適用されるかどうかの条件は以下の通りです。

EEA域内にいるデータ主体に対して商品やサービスの提供をする場合

※データ主体…識別された又は識別され得る自然人

「商品やサービスの提供をする場合」とは、「商品やサービスの提供をする意図が明白である場合」と説明されており、たとえばウェブサイトを通してEEA域内の消費者へ商品やサービスなどを提供すると、ウェブサイト上での支払いの有無に関わらず適用対象になると考えられます。したがって、企業サイトとして、ヨーロッパ市場を意識した英語やドイツ語、イタリア語のページがあるならば、対象になると考えた方がよいと思われます。

悩ましいのは日本語のページです。日本語のウェブページしかないとしても、現地の人と結婚した日本人、業務で赴任している人、日本語が堪能なヨーロッパ人といった方々がサイトを閲覧し、問い合わせをする可能性は否定できません。日本語のウェブページは対象外ではないかという気もします。しかし、コラムを執筆している時点では言語を理由にした例外規定のような情報を探すことはできませんでした。東京の駐日欧州連合代表部にも問い合わせてみましたが、個別の回答はできないと返信されてしまいました。

GDPRへの対応状況

GDPRの施行にあたり、アメリカの企業などはすでに対応に乗り出しています。

例えばGoogleは、2018年5月25日から発効される新しいプライバシーポリシーを同月11日に公開しています。ポリシーの内容自体に変わりはありませんが、文書の文言とナビゲーションをGDPRに対応した内容に改訂しています。また、Google Analyticsのユーザー情報の保持期間の標準設定を「無制限」から「26か月」に変更したことも話題になっています。

Facebookも2018年4月18日にGDPR対応の一環として、プライバシー保護に関する新たな取り組みを発表しました。政治観や宗教、信仰などプロフィールに関連する情報をユーザーが希望する場合には削除できるようにしたり、顔認証技術の使用許可通知を送付したりするなどの対応をおこなっています。

一方で、日本の状況をみると、東証一部のような大企業でも準備が完了している企業は少なく、日本の弁護士にもGDPRの細かい内容まで理解している人が少ないようです。法律事務所やコンサルティング会社などを中心にセミナーが開催されるなど、GDPRに対する危機感はみられるものの、何をどのように対応すればよいのかがわかりにくく、対応が進んでいないのが現状です。

あやとりとしての対応

このような状況の下、当社としては「現時点ではGDPR対応はしない」という方針を決定しました。

もちろん、当社のウェブサイトはEEA地域からも閲覧可能であり、また、サイトポリシーにも記載しているようにCookieの使用やアクセスログの収集を行っています。このため、GDPRと完全に無関係とまでは言い切れないかもしれません。

一方で、当社のサイトはすべて日本語で記載しています。営業範囲も東京から大阪を中心に日本国内までを前提としています。また、GDPR対応をするにしても、その対応が適切であるかをチェックしてもらう専門家を見つけることもできていません。

この状況下で、GDPR対応を行うことは、過大かつ困難であると判断し、暫定的ではありますがGDPR対応をしないことを決定し、従前どおり日本国の個人情報保護法に則った運用を続けることにしました。GDPRに対しては、情報収集に注力し、必要に応じて対応していくことになりました。

当社のクライアントに対しても注意喚起はおこないましたが、現時点ではそれ以上の提案を行っておりません。オプトインを促すような見た目だけのウェブサイト改修を提案することは可能ですが、それはGDPRが求めている要求事項のごく一部にすぎません。クライアント企業の方針が未定な状態1で中途半端な提案することが誠意ある対応とは思えないためです。

  1. GDPRでは、データ保護責任者(Data Protection Officer:DPO)の任命など、経営トップのコミットメントが要求されています。クライアント企業からウェブサイトの改修依頼を受けた場合、コミットメントの内容を確認し、そのコミットメントに沿った改修計画を策定することになります。(2018年6月4日 追記)

GDPRが切り開く未来

法律の適用には大きく分けると属人主義と属地主義があり、現代の多くの国家は属地主義を原則としながらも属人主義を併用している状態です。 しかしGDPRはそれを飛び越え、効果が及ぶ範囲には全て適用するという独特の性質をもつ法律です。

一方で、個人情報保護のとりくみ方は先進的であり、今後各国へ広がる可能性も否定できません。また属地主義を超えた法律が求められているのもインターネットの普及を考えれば当然と言えるでしょう。

IT技術にも波及する可能性もあります。個人情報保護に関するポリシーや準拠法をHTMLのMETAタグに記載するといったことや、閲覧に先立ちHTTPプロトコルの時点で合意形成をはかるといった規格が登場することも考えられます。

いずれにしても、今後の動きを注視していきたいと思います。

ウェブ戦略の専門家がご相談を承ります。お問い合わせフォームはこちらをクリックしてください。
BtoB企業ウェブ担当者必見のお役立ち情報が満載のウェブ戦略ノウハウ資料が無料でダウンロードできます。

東京~大阪までご支援可能です。まずはお問い合わせフォームよりご相談ください。お問い合わせの前に初めてのかたへをご覧ください。

第6回ウェブマネジメント講座 対面研修2日コース
BtoB企業の戦略的ウェブサイト活用セミナー@名古屋
第3回「考えていますか?ウェブ制作のチームビルディング」
BtoB企業の戦略的ウェブサイト活用セミナー@東京
第4回「成果に差が出る!ウェブ制作業者の選び方」
ページの先頭へ