最近、GDPRというキーワードをよく聞きますよね。
そもそもGDPRとは「個人情報保護法」のEU版というべきもので、ヨーロッパの個人のデータを保護するためのルールです。
GDPRは、2018年(平成30年)5月25日から施行されており、すでに対策が必要になっています。
GDPRについては、様々なことが規定されてますが、IT企業や中小企業が、何をすべきかを検討していきます。
そもそも、GDPRは、どのような場合に適用されるのでしょうか。
GDPRが適用されるのは、以下の場合です。
EEAとは、欧州経済領域のことで、EU+ノルウェー、アイスランド、リヒテンシュタインのことをいいます。
例えば、ECサイトやアプリサービスにおいては、全世界からアクセスすることが可能です。
では、どのような場合に「EEAに対して、商品又はサービスを提供する場合」に該当するのでしょうか。
例えば、日本企業が日本居住者向けのアプリサービスをリリースした場合でも、EEAからアクセスできるというだけで「EEAに対して、商品又はサービスを提供する場合」に該当するのでしょうか。
GDPRの規定では「1つ以上のEEAに対し、サービス提供をする意思があることが明白である場合」には、GDPRが適用されるとされています。
この「意思があることが明白である場合」とは、以下の点が、判断基準とされるとしています。
例えば、以下のような場合には「1つ以上のEEAに対し、意思があることが明白である場合」にあたり、GDPRの適用があるものと考えられます。
反対に、サービスが日本語のみの表記で、決済も日本円のみ。日本人向けのサービスである旨の明記があれば、「1つ以上のEEAに対し、意思があることが明白である場合」とはいえず、GDPRの適用がない可能性が高いでしょう。
問題となるのは、サービスに英語を使用している場合です。
英語は、EEA域内の国でも使用されているので、「1つ以上のEEAに対し、意思があることが明白である場合」である可能性があります。
GDPRの適用があるかは、そのサービスが、EEA域内の国向けか、決済通貨など、総合的に判断して、GDPRの適用の有無が決定されます。
主に日本居住者向けサービスにも関わらず、GDPR対策しないといけないからといって、EEA域内からアクセスができるというだけで、EEA域内向けにプライバシーポリシーを公開するといった対策をしてしまうと、GDPRの適用される可能性が高めてしまうことになってしまいます。
また、GDPRの適用がある「①EEAに対して、商品又はサービスを提供する場合」とは、有償無償を問わないとされています。
そのため、EEA域内に「所在する」人に、無償でサービスを提供する場合でも、GDPRの適用があることは注意が必要です。
それでは、GDPRが適用される企業で、GDPRに違反した場合には、どうなるのでしょうか?GDPR違反には、制裁金の規定があります。
例えば、以下のような場合には、最大 20000000 ユーロ、又は前会計年度の全世界年間売上高の4%のどちらか高い方を制裁金として科される可能性があります。
それでは、GDPRの適用があるとして、どのようなことを守る必要があるのでしょうか?
GDPRは、細かいルールが多項目にわたり規定されていますが、概要としては、以下の通りです。
その他、細かいルールが定めれれており、企業としては、完璧な対策をすることは、非常に労力がかかります。
上記のように、細かいルールが定められているGDPRですが、大企業は、年単位で準備を進めていました。
しかし、それをスタートアップ、ベンチャー、中小企業が行うのは現実的ではありません。
そこで、スタートアップ、ベンチャー、中小企業が、今日からできる、ここだけやっておくべき対策をご紹介します。
なお、これだけやっておけば、完璧というものではありません。最終的には、対策をする必要がありますが、まずは、最低限、ココだけは守りましょうという意味で記載しています。
GDPRでは、プライバシーポリシーで定めておくことが規定されています。
その中でも、以下の点については、明確に規定されているか、確認しましょう。
上記のように、GDPRでは「個人データの処理についてのデータ主体の同意」が求められています。
これは、個人情報を取得する際に、プライバシーポリシーに同意してもらう方法がよいでしょう。
同意してもらう際には、「当社が、当該個人データの日本への移転について明示的に同意したものとみなします」という規定も入れて方がよいです。
以上のようにGDPR対策は、非常に労力を要するものです。
スタートアップ・ベンチャー・中小企業が、いきなり完璧を追及するのは、現実的に不可能です。
これらの企業は、まずは、できることから対策をし、自社に負担にならないように対策をしましょう!