GDPR対応で日本企業の実務担当者の痒いところを具体的に考えてみる

GDPR(General Data Protection Regulation:EU一般データ保護規則)という言葉はそろそろ市民権を得て来ているかもしれない。EUGDPR.orgのホームページでのカウントダウンでは、規制施行まで既に310日を切っており、最早時間に余裕があるとはいえない状況だ。

GDPR(General Data Protection Regulation:EU一般データ保護規則)という言葉はそろそろ市民権を得て来ているかもしれない。GoogleAdwordsでは「GDPR」の検索数が5月6月といよいよ伸びてきており4月の1.5倍の状況だ。EUGDPR.orgのホームページでのカウントダウンでは、規制施行まで既に310日を切っており、最早時間に余裕があるとはいえない状況だ。

EUFlag

日本企業が心構えるべきポイント

GDPRの情報もようやく出回ってきているが、まだ施行前であり、判例もないためGDPRの和訳や要約に留まっているのが現状だ。今回は一歩踏み込んでGDPRへどのように対応すべきかビジネス視点で考えてみたい。 日本企業からすれば、GDPRは、「所詮EU圏での出来事」と対岸の火事として受け止めるには、制裁金が高過ぎる。まずは、法律観点で(EU圏内orEU圏外)、企業観点で(EU圏内企業orEU圏外企業)と言った具合に整理しよう。 この整理をすると見えてくるのが、EU圏内企業と日本企業では、まずGDPRに対する心構えが異なるという事だ。  

GDPRはEU圏目線で発信されている

当然のことだが、GDPRはEU圏での法規制である。すなわちEU圏内の人向けであり、GDPRはEU圏外の国の人(事業者)向けではないのである。簡単に言えば日本人向けには書いていないのだ。この立ち位置を理解して自分視点でGDPRを捉えると理解しやすくなるのではないだろうか。

 EU外から見た時に大きな問題の一つは「データ移転」である。

データ移転とは、EU圏外の第三国にデータを送ることを言う。EU圏から見ればデータを渡すことであり、EU外から見ればデータを受け取ることだ。EU圏内で事業を行っているEU企業であれば、余り発生しないので意識することも少ない。しかし日本企業では、いつEU圏からデータを受け取る移転が発生してもおかしくなく重要視すべきものである。  

日本企業の3つの立ち位置

  1. 日本企業で、EU圏内に法人が有り、EU市民に製品/サービスを提供
  2. 日本企業で、EU圏内に法人が無く、EU市民に製品/サービスを提供(越境EC、メーカーなど)
  3. 日本企業で、EU圏内に法人が無く、EU市民に製品/サービスを提供(日本国内向け事業が主体)

1に該当する場合は、企業全体で検討が進められているかもしれない。2に関しては事業部に一任されている可能性があるが、自社の個人情報の内容・流れを把握する意味でも全社で認識を等しくすべきだ。そしてマーケターにとっては3番が気になるところだろう。

  例えば、「日本国内向けに日本語Webサイトを運営しているが、EU圏からユーザーがアクセスしてきた際に取得した個人情報はGDPRの規制対象になるか?」という疑問だ。  

この疑問への見解は、「対象となる。但し、現実的には制裁の対象にはなるとは考えにくい」だ。理由はEU市民の個人情報が、EU圏外に渡ると考えれば、そのままGDPRの対象だ。しかし、日本国内向けの日本語Webサイトである事を加味すれば、本来のターゲットではないことから、制裁の対象外と成り得ると考えられるのだ。  

また、「EUに旅行に行っている日本人がアクセスしてきた場合は対象になりませんよね?」という疑問も考えてみよう。  

この疑問への見解も、「対象となる。但し、現実的には制裁の対象となるとは考えにくい。」だ。GDPRではその個人データの主体(個人情報が指し示す人)の国籍や居住地を定義はしておらず、あくまでもEU圏内の個人データの取扱いに関する規則であり、EU圏内で活動する法人に対しての規則とも言えるからだ。(このあたりがEU圏内向けと感じる部分である) よって、旅行者であれ、だれであれ、EU圏内で取得された個人データであればGDPRの対象となる。が、前述の通り、事業者側の対象がEU圏外であれば現実的に対象とはなりにくいだろう。

  いずれの場合も、あくまで考えにくいだけであり、放置することはお勧めしかねる。これらのケースで最も意識すべきことの一つは、Cookieを利用したマーケティングだろう。何故ならば、誰かわからない状態でWebサイトにアクセスにしてきた人にCookieを元にしたマーケティングを行った所、蓋を開けてみたらEU圏内の人だった。などは容易に想定出来るからだ。  

デジタルマーケティングにおいてCookieを利用したツールは、最早数え切れないほどある。GDPRでも個人データとしてオンライン識別子を定義しており、そのひとつはCookieだ。既にEU圏の多くのサイトでは、Cookie使用の明示的な同意を求めているためのツールを導入している。早晩日本でもWebサイト運営者はCookieを取得する前に明示的な同意を得る仕組みを取り入れる事が避けられなくなっていくだろう。

▼プライバシーポリシー制御の参考に
Volvo-UK
http://www.volvocars.com/uk  

▼参考資料:GDPRの理解・対応方法
https://www.underworks.co.jp/wp-gdpr/

▼GDPRのキホンを知りたい方はこちらの記事も御覧ください

GDPR「EU一般データ保護規則」とは?覚えておくべき3つのポイント

あわせて読みたい記事