GDPRがECサイトに及ぼす影響と、必要なGDPR対策とは?

GDPRがECサイトに及ぼす影響と、必要なGDPR対策とは?

2018年5月25日からEU域内に在住している市民の個人情報を保護する一般データ保護規則のGDPR(General Data Protection Regulation、以下GDPR)が発効され、1年以上が経ちました。

しかしこのGDPR、日本のメディアではそれほど大きなニュースになることはありませんでした。
「そもそも、GDPRってなに?」という方もいらっしゃるのではないでしょうか。

GDPRはEC業界においても重要な意味を持ちます。それは一体どのような点で重要になるのでしょうか。

この記事ではGDPRが何かといった基本的なことから、EC業界やWebマーケティングで働く人向けに以下の情報を解説して行きたいと思います。

GDPRとは何か

GDPRとはどのような法令であるのかを一言であらわすと、「EU域内に在住している市民の個人情報を適正に取り扱うことを定め、またデータ保護に関する施策を確実に実行すること」です。

個人データの定義は 「識別された、もしくは識別可能な人(データ主体)に関連するあらゆるデータ全て」を指します。

GDPRの発効で、EU在住市民の個人情報を取り扱う全ての企業・団体や個人は次のことに気をつけなければいけません。

もしEU在住者の個人情報を漏洩させてしまった場合、必要な所定の手続きを取らないと罰則が課されます。
これはEUだけの法令ではなく、世界各国の企業や個人も対象になるので注意が必要です。

GDPRへの対処方法がすぐにでも知りたい!という方は、⑦EC担当者はGDPR対策として何をするべき?へ進んでくださいね。

GDPR発効で何が変わったのか?

このGDPRは突然始まったわけではなく、1995年のデータ保護総則(Data Protection Directive)にさかのぼり、これをアップデートしたものになります。

GDPRでは個人情報の範囲をより明確に定め、違反した場合の対処法や罰則を定めました。
違反やその対処法、また罰則については⑤GDPRに違反した場合の罰則で解説します。

他人事では済まされない!?GDPRの効力

GDPRの効力

上記でも触れましたが、GDPRはEU域内だけではなくEU以外の全世界の企業・団体また個人にも効力があります。

インターネットの普及により個人情報を容易に取得できるようになったことで個人情報の不正利用や情報漏洩のリスクが高まったため、EU市民の利益を損なわないことが目的です。
「EU域内に在住している人の個人情報は取り扱うことがないから大丈夫」と考えていると、もしかしたら痛い目にあうかもしれません。

たとえば、EUのどこかの国に在住している人が日本のウェブサイトを訪問し何らかのサービスを受けるために個人情報を登録した場合、個人情報の取得や取り扱いに問題があったり、情報漏洩が起こればGDPRに違反する可能性もありえます。

十分性認定とは何か?

GDPRについて調べていると「十分性認定」というキーワードが出てきます。
十分性認定とは、EUが認定した国・地域に対してデータの持ち出しを定めた法令です。

EU域内から域外へデータ移管することに関しての取り決めで、日本も認定国のひとつです。
今回の記事とは関連性が低いため割愛しますが、もし気になる方はこちらの記事で詳しく解説されているので参考にすると良いでしょう。
参考:日本経済社会推進協会

GDPRに違反した場合の罰則

GDPRに違反した場合、次のどちらか高い方の罰金が適用されます。

  • 最高1,000万ユーロ
  • 企業の前年度に世界における売上高の2%

そして違反の度合いが深刻と判断された場合は最高2,000万ユーロ、企業の前年度に世界における売上高の4%のうちどちらか高い方が適用されます。

ただし、違反しているからといってすぐに上記の罰則が適用されるかというとそうではなく、所定の手続きをとることによって適用を免れることもあるようです。
所定の手続きは、情報漏洩が起きたと判明して72時間以内に所定の窓口に報告する必要があります。

GDPRが発効して8ヶ月の間に約6万件の情報漏洩が報告されており、決して他人事ではありません。

GDPRに違反しているため罰則が適用された例

次に、実際にGDPRに違反しているため罰則が適用された事例を挙げたいと思います。

一番有名なのはGoogleとFacebookの例でしょう。
こちらは日本でもニュースになったため、ご存知の方もいらっしゃるかもしれません。

Googleの罰則例

GoogleはGDPR発効後に早速フランスのデータ保護団体のCNILから個人情報の取り扱いに関して問題があると指摘され、後に5,000万ユーロの罰金を科されました。

Googleの様々なサービスを利用する際に、パーソナライズ広告表示がデフォルトでONになっていることや、個人情報取得に関する説明が十分になされていないという点が指摘されました。

Facebookの罰則例

Facebookはハッキングを受けたことで約5,000万人の個人情報を流出させ、個人情報の安全管理に問題があるとしてこちらも多額の罰金が科されています。

EC担当者はGDPR対策として何をするべき?

GDPRへの対策は、まずGDPRについての理解があるかどうかが重要です。
自社内での話し合いや勉強会はもちろん、請負業社とも確認をした方が良いでしょう。

そしてGDPRの規則は今後変わる可能性もあるため、常に最新動向についてチェックしなければいけません。

またプライバシーポリシーはウェブサイトにアクセスした訪問者がわかりやすいように平易な英語で書く必要があります。
ユーザの個人情報を何の目的で取得するのか、データの保持するための個人の同意と法的根拠は何か、また個人情報の共有の範囲、保管場所、データをEU外に転送しているかなどを明確に示さなければいけません。
参考:EcommerceGuide(英文)

企業のEC担当者・WEBマーケティング担当者はGDPRに対して具体的に何から手をつけたら良いか

まず、以下の2点から取り組みましょう。

  • プライバシーポリシーの策定において、個人情報の取扱いに関する明記がされていること
  • 個人情報取得に関するページに容易にアクセス可能なこと

GDPRへの対処としては、企業や個人などが取得した個人情報をどのように扱うのかという点がポイントになります。

悪用しないことはもちろん、本人の同意なく第三者に対して情報を渡さないこと、また悪意のある第三者から不正に個人情報を取得されないようセキュリティ対策がきちんとなされていることを明記しなければいけません。

EcommerceGuideの記事によると、EC業界においてはデータの取り扱いに関して次の4点に気をつける必要があります。

The data you collect;
The ways you use the data;
The ways you store the data; and
The ways you share the data.

【訳】
収集しているデータ内容
収集データの利用用途
収集したデータの管理方法
収集したデータの共有方法

出典:EcommerceGuide(英文)

この4点について法的に問題がないよう、プライバシーポリシーの策定を万全に行い、セキュリティを強化することが具体的な対策となります。

ウェブサイトによってはCookieを用いているところもあると思いますが、今後はCookieの使用範囲・期間を明確に定め、訪問者にCookieの使用について同意か拒否を選択させるように設定する方がベターでしょう。

プライバシーポリシーの策定に関して、法的な知識がない場合は信頼できる専門家に任せたほうが賢明かもしれません。
今ではIIJのようなGDPRに対応した外部サービスもあります。

参考:Web担当者フォーラム

十分な対策をしたにも関わらず、情報漏洩が起きてしまった場合はどうすればよい?

情報漏洩が起きてしまったEC担当者のイメージ

上記でも少し触れましたが、もし情報漏洩が場合は72時間以内に決められた期間に情報漏洩が起こってしまった可能性があるという報告を行う義務があります。

ダイヤモンド・オンラインの記事では、プリンスホテルが外部委託していた予約サイトに不正アクセスがあったため、EU在住者の個人情報が不正に取得されてしまった事例があります。

記事によると、同社の対応は素早く、72時間以内に報告がされたため今のところ罰則が適用されたということはないようです。

参考:ダイヤモンド・オンライン

まとめ

EC担当者・WEBマーケティング担当者の業務は多岐にわたり、EUが定めた個人情報取り扱い規則のGDPRに関する対応まで手が回らないという場合もあるでしょう。その場合、法律に詳しい専門家に外注をするなどして業務の短縮化を行うことも可能です。

GDPRの発効によって、個人情報保護は個人情報を取り扱う全てのウェブサイトに関係のあることになりました。
GDPRにならい、中国やアラブ首長国連合など個人情報保護に取り組む国も出てきています。今後、同様の動きが世界中で見られるようになるでしょう。

参考:欧州連合公式HP(英文)


この記事が気に入ったら、いいね!で応援お願いします!