ビッグテックが立て続けに制裁金を科されている、その論拠であるGDPR。
一見日本では関係ないようにも思えますが、現実的にそんなことがないのと、将来世界的に同じ方向で規制が課されるであろうことは容易に想像できるため、今から学びつつ対策していきましょう。
GDPR 対象企業
当然EU域内企業は縛られるわけですが、域外企業であっても他人事ではありません。
GDPR第1章第3条 地理的適用範囲を見てみますと
「本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国
内法の適用のある場所において行われる個人データの取扱いに適用される。」
とのことです。
すなわちGDPRでは、EU圏内に所在する組織に加え、EUと取引のある全ての組織が対象となってしまいます。
違反時の制約金
GDPRに従わなかった場合といいますか違反してしまった場合は制裁金が課せらます。一説には、多国籍企業から税収が取れてない分を補填する目的で制裁金を科したのではないかと言われるほどに高額な・・
なんとその金額、企業の全世界年間売上高の4%以下、もしく2000万ユーロ以下の、”いずれか高い額”です。
売上高の4%、なかなかのものです。過去制裁を科された例でいいますと、
Amazon
7億4600万ユーロ
顧客データの取扱について
WhatsApp
2億2500万ユーロ
WhatsApp – Facebook間のデータ共有方法について
Google
5000万ユーロ
個人データの収集とターゲット広告への利用に関して
などです。もはやなんだその金額は・・
GDPRの対象となる個人データとは
個人データについて、当然定義されています。
GDPR第1章第4条 定義によると、
「個人データとは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子䛾ような識別子、または当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つ、もしくは複数の要素を参照することによって、直接的にまたは間接的に、識別され得るものをいう。」
とのことです。まあややこしくはあるのですが、例えば、
● 氏名
● 位置情報
● メールアドレス
● オンライン識別子( IPアドレス、Cookie)
● クレジットカード番号
● 健康診断結果
● パスポート情報
● 身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因
ですね。突飛なものは何もないです。
なおこれらのデータ、国籍などはまるで関係ないため、例えば短期出張の社員の健康診断結果を日本本社に共有する、なんてイベントは引っかかってしまいます。
GDPR対策の代表例3種
「オプトイン」による同意取得
自社が顧客からどのような情報を要求/収集しているのか、について明確に示し、収集したデータについて特定の目的のためだけに使用することを明示した上で、情報を提供するかしないかの選択を顧客与える必要があります。
この選択の付与はオプトアウト(嫌な人はブロックしてくださいねスタイル)では不十分で、オプトイン(データくれる人は許可をお願いしますスタイル)でなくてはなりません。
初期状態でCookieを含む個人データを取得してはならない、という制限に対応できるものです。
最も、オプトインにしてしまうと7割ほどデータが欠損してしまう傾向にはありますが・・
「明確で簡潔で理解可能」なプライバシーポリシーの設置
プライバシーポリシーで対応することも選択肢ですが、GDPRをクリアする細かなルールをクリアする必要があります。例えばですが、
簡潔で、透明で、分かりやすく、容易にアクセス可能でなけれ䜀ならない
明瞭かつ平易な文言を使用しなければならない(子供に情報を提供する場合に特に重要)
書面で、または適切な場合は電子的手段その他の手段によって行われなければならない
データ主体が要求する場合、口頭で提供できなければならない
とのことで、口頭提供=電話番号提供、平易な文言・・規約って複雑なことが多いですよね。難しいところです。
かつ、当たり前ですが、要求事項に合致するポリシーを作成することだけでなく、作成したポリシーを運用可能にすることも求められるうえに、これらの準備を行ったことを証明することも必要となります。
収集した個人データの「利用目的の限定」
たとえば顧客の個人データを保存する場合に、ユーザに説明し明示的に示された目的にのみ利用するようメタタグなどを利用しその事実を明確にする必要があります。
