GDPRはインターネット上の「個人情報保護法」のようなもの

GDPRのお話です。

GDPRとはEU圏でルール化された「EU一般データ保護規則(General Data Protection Regulation)」です。簡単にいうと、EU圏内の全ての個人のプライバシー保護を強化するための規則です。

ざっくりと解説しますので、不足部分がでるかもしれませんが、その場合は追加で記載していこうと思います。

GDPRとは

GDPRは2012年に立案、2016年4月に採択され、2018年5月25日に施行されました。これにより、個人データを収集、処理をする事業者、つまりWEBサイト運営者に多くの義務が課されることになりました。

日本でWEBサイトを運営しているから関係ないでしょうと言いたいところですが、そうではありません。

WEBサイトを公開していると、日本だけではなく世界中からアクセスがあります。
WEBサイトはアクセス内容などを収集するために様々なデータを保存するためにCookie(クッキー)という仕組みを持っています。訪問したユーザー情報、たとえばID、パスワード、メールアドレス、訪問回数などが情報としてCookieに保存される訳です。

EC圏のユーザーからアクセスがあった場合には、このようなデータがCookieに保存されるとDPRの規制対象になるようです。さらに、メールフォームに名前やメールアドレスを入力する行為も同様と考えられます。

対応は・・・

さて、WEBサイトとしての対応です。

プライバシーポリシーへの記載やGDPRツールを使用して、来訪者への告知(対応)が必要になります。下記の内容はWEBサイトとして最低限表記したい内容です。

  • 運営している事業やWEBサイトに必要なデータを定義する。
  • その内容をプライバシーポリシーやメールフォーム入力ページ等で来訪者にCookie使用について丁寧に説明する。
  • 来訪者には同意を得れるように、GDPRに対応したツールで対応やルールについて説明する。
  • 来訪者からプライバシーのデータ確認や削除の要求を受けた場合には対応する。
  • データの利用が終了し保管期間が過ぎたデータは削除する。

WEBサイトの運営業者としては、収集した個人情報を的確に取り扱うことが必要になります。
何をどのようにという内容は下記のサイトが詳しいのでご覧ください。

違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロ(1ユーロ125円とすると25億円)のどちらか高い方が制裁金として課されるそうです。

日本国内のこれから

日本国内でもGDPRと同様のルールを検討が始まっているようです。まだ検討段階ですので導入時期は不明ですが、2020年には東京オリンピックがありますので、意外と早めに導入されると予想されます。

GDPRはインターネット上での「個人情報保護法」ともいえます。WEBサイトを運用している企業は今のうちから対応の準備をされていたほうが良いかなと思います。