• HOME
  • メディアDMJ
  • GDPR「EU一般データ保護規則」とは?覚えておくべき3つのポイント

最終更新日:2018年7月26日

GDPR(EU一般データ保護規則)とは?


GDPRとは、『General Data Protection Regulation』の略で、日本語では、『EU一般データ保護規則』と訳される。GDPRは、2018年5月25日に施行され、EUにおける個人情報・プライバシーに関するデータ処理・管理に関する新たな枠組みのことである。EU圏の法規制であるが、日本にも影響があると解釈される。


 
誤解を恐れず例えると「EU版改正個人情報保護法」と言っていいかもしれない。だが、その内容は「日本版改正個人情報保護法」とは大きく異なっているので注意が必要だ。

もちろん、これまでEUにおいて個人情報保護に関する規則がなかったわけではない。

1995年に「EUデータ保護指令」というものが作られ、この指令に基づきEU各国がぞれぞれの国において個人情報に関する法的整備をしてきた。これは統一の指令に基づいてはいるものの、EU各国での法規定は加盟国ごとにバラバラであるというのが現状だ。例えばドイツは、EU各国の中でも一番厳しい国の一つと、聞いたことはないだろうか。

一方、昨今の技術革新・デジタル化によって、個人情報の収集・共有はますます進む一方となってきているのは御存知の通りだ。

そこで、EU全体で個人情報に対する取り組みを強化することを目的に、2012年欧州委員会によって立案され、2016年4月に欧州議会に正式に採択されたのがGDPR、EU一般データ保護規則である。

そして2018年5月25日に無事施行(適用開始)されたことは大いにニュースとなった。

※EUの法令は5段階存在するので心に留めて頂きたい。ここまでで、『規則』や『指令』と出てきているのはそれが故である。規則(Regulation)>指令(Directive)>決定(Decision)>勧告(Recommendation)>意見(Opinion)

GDPR対応前に覚えておきたい3つのポイント

GDPR「EU一般保護データ規則」は全部で99条(+前文)で構成されており、個人情報(データ)の処理及び個人情報(データ)をEU域内から他の地域に移転するために満たすべき法的要件を規定している。

以下に簡単にではあるが、GDPRの内容のうち、まず覚えておきたいポイントを3つにまとめてみた。
 

1点目は「EU域内で個人情報の取扱いに共通の法律が適用され始める」ということ。

前述のように、これまでは共通の指針はあったものの各国で法的整備がされていた。来年の施行以降は、この各国法が廃止され、GDPR「EU一般保護データ規則」が事実上EU内における個人情報に関する共通の法規制となっていく。但し、最新の状況では、EU圏各国に対して全て同じ対応でよいかと言うとそうではなく、どうしても国ごとの対応の必要性が出てくると考えられている。EU圏の国を対象としてビジネスを行っている場合は、GDPRに加えて、その国の法規制も遵守出来ている状態を作る必要がある。
 

2点目として、個人情報の範囲や取得・管理ルールが大幅に強化される、という点。

この法律は、「個人の権利の強化」を目的に立案されており、まずその第1条で「個人のプライバシー権の保護」を強く訴えるものとなっている。個人データの定義から加工・管理方法に至るまで厳しいルールが定められ、グローバル企業にとっては特に、EU域内からの移転に関してのルールが課題となると思われる。尚、今年中にはEUと日本で協定が締結される見込とされている。引き続き最新の情報を入手し続けることが必要だ。また、条件によっては個人データの処理・管理の責任者・専門家として「データ保護責任者(Data Protection Officers/DPO)」の設置も義務付けられている。
 

3点目として、罰則の強化を挙げる。

GDPRの目的の1つは、「制裁と執行の強化」となっており、違反した企業への罰則規定が非常に厳しく設定されていることは注目しておきたい。GDPRへの違反企業への罰則は、全世界の年間売上高の4%もしくは2000万ユーロ(1ユーロ125円とすると25億円)のどちらか高い方を上限とする制裁金が課せられる可能性がある。例えば違反企業がEU内子会社であっても連結でグループの売上高に対して制裁金が課せられると考えたほうが良いだろう。GDPRが施行された今では、少なくとも『GDPRに準拠するよう努力している』という状態を作ることが重要だ。制裁金は一律適応ではなく、その企業が個人情報をどの程度大切に扱ったか、という事実によって変わると考えられている。
 

GDPRに関して参照しておきたい情報

GDPRに関して、より実務的で詳しい情報を探す際には、以下のようなWebサイトを閲覧してみると良いだろう。

JETRO:「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)(2017年8月)
Wikipedia:EU一般データ保護規則

デジタルマーケティングの担当者がGDPRを気にしておくべき理由

デジタルマーケティングの担当者としては、以下にあげる3つのポイントは抑えておいて欲しい。

1.プライバシーポリシー、クッキーポリシーが整備されているか
クッキーポリシーにプライバシーポリシーがインクルードされている場合は整備されていない、と認識するべきだ。

2.ピギーバックやゼロクッキーロードの対処が完了しているか
ピギーバック関してはこちらを参考にされたい。
ゼロクッキーロードに関しては、こちらを参考にされたい。

3.漏洩時の体制・対応が完了しているか
GDPRでは72時間以内の当局への報告を義務付けている。そういった体制全般が整っているか、少なくとも整えようとしているか。

またGDPRというと、法務部門やIT部門の問題だ、と認識される方も多いかもしれない。実際、GDPR対応サービスを提供しているベンダーも監査法人、IT系コンサルティング会社や法律事務所などが多い。
 
新日本有限責任監査法人:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項
pwc:EU一般データ保護規則(GDPR)への対応支援
NTTデータ先端技術:EU一般データ保護規則(GDPR)の概要

だがGDPR「EU一般保護データ規則」はデジタルマーケティングに携わる方々は気にしておくべき重要なテーマだ。デジタルに対する取り組みは年々投資が拡大し、以下のような背景は他人事ではないはずだ。

・縮小する国内市場に対し、海外での売上重要度が増大
・パーソナライズした顧客とのインタラクションがUX改善に不可欠
・あらゆるデータの蓄積・統合(ビッグデータ)と分析(アナリティクス)を重視

また、2017年5月に施行された国内の改正個人情報保護法も2020年には修正見直しがされることになっているが、その修正内容はこのGDPRを意識したものになっていく可能性もある。マーケティングと個人情報に関するコンプライアンスに関して、再度見識を深めておきたい。

CMPの導入はお済みですか?

・各国の法改正についての違いがよくわからない。

・GDPR対応でCookieの同意取得を実施したいが、どの製品がよいのかよくわからない。

・同意取得から管理まで総合的なプラットフォーム構築を検討している。

アンダーワークスでは、多数のCMP導入実績がございます。また、CMPの選定や導入だけでなく、プライバシーポリシー改定のご支援も可能です。 まずはお気軽にご相談ください。

関連サービス

関連記事

デジタルマーケティングジャーナル 一覧