システム開発やアプリ開発、AI開発などIT企業の法律・法務に強い弁護士事務所です
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

【GDPR対策】スタートアップやベンチャー、中小企業の場合を弁護士が解説

個人情報の管理

GDPRとは

最近、GDPRというキーワードをよく聞きますよね。

そもそもGDPRとは「個人情報保護法」のEU版というべきもので、ヨーロッパの個人のデータを保護するためのルールです。

GDPRは、2018年(平成30年)5月25日から施行されており、すでに対策が必要になっています。

GDPRについては、様々なことが規定されてますが、IT企業や中小企業が、何をすべきかを検討していきます。

GDPRが適用される場合

そもそも、GDPRは、どのような場合に適用されるのでしょうか。

GDPRが適用されるのは、以下の場合です。

  1. EEAに対して、商品又はサービスを提供する場合
  2. EEAの行動を監視する場合

EEAとは、欧州経済領域のことで、EU+ノルウェー、アイスランド、リヒテンシュタインのことをいいます。

例えば、ECサイトやアプリサービスにおいては、全世界からアクセスすることが可能です。

では、どのような場合に「EEAに対して、商品又はサービスを提供する場合」に該当するのでしょうか。

例えば、日本企業が日本居住者向けのアプリサービスをリリースした場合でも、EEAからアクセスできるというだけで「EEAに対して、商品又はサービスを提供する場合」に該当するのでしょうか。

GDPRの規定では「1つ以上のEEAに対し、サービス提供をする意思があることが明白である場合」には、GDPRが適用されるとされています。

この「意思があることが明白である場合」とは、以下の点が、判断基準とされるとしています。

  • EEA域内の国で、使用される言語や通貨を使用しているか
  • サービス利用に関してEEA域内に所在するカスタマーやユーザーによる利用について言及があるか

例えば、以下のような場合には「1つ以上のEEAに対し、意思があることが明白である場合」にあたり、GDPRの適用があるものと考えられます。

  • イタリア語などで、サービスページが作られており、決済もユーロ
  • サービス内に、イタリア人向けであるような記載がある場合

反対に、サービスが日本語のみの表記で、決済も日本円のみ。日本人向けのサービスである旨の明記があれば、「1つ以上のEEAに対し、意思があることが明白である場合」とはいえず、GDPRの適用がない可能性が高いでしょう。

問題となるのは、サービスに英語を使用している場合です。

英語は、EEA域内の国でも使用されているので、「1つ以上のEEAに対し、意思があることが明白である場合」である可能性があります。

GDPRの適用があるかは、そのサービスが、EEA域内の国向けか、決済通貨など、総合的に判断して、GDPRの適用の有無が決定されます。

主に日本居住者向けサービスにも関わらず、GDPR対策しないといけないからといって、EEA域内からアクセスができるというだけで、EEA域内向けにプライバシーポリシーを公開するといった対策をしてしまうと、GDPRの適用される可能性が高めてしまうことになってしまいます。

また、GDPRの適用がある「①EEAに対して、商品又はサービスを提供する場合」とは、有償無償を問わないとされています。

そのため、EEA域内に「所在する」人に、無償でサービスを提供する場合でも、GDPRの適用があることは注意が必要です。

GDPRに違反は、多額の制裁金が

それでは、GDPRが適用される企業で、GDPRに違反した場合には、どうなるのでしょうか?GDPR違反には、制裁金の規定があります。

例えば、以下のような場合には、最大 20000000 ユーロ、又は前会計年度の全世界年間売上高の4%のどちらか高い方を制裁金として科される可能性があります。

  • 個人データを同意なく取得する行為
  • 適切に個人データを管理していない行為
  • 管理者の情報が適切に開示されていない場合
  • 個人から自己の情報にアクセスしたり修正したりできない場合
  • 監督機関の命令に違反した場合

GDPR 何をするべきなの?

それでは、GDPRの適用があるとして、どのようなことを守る必要があるのでしょうか?

GDPRは、細かいルールが多項目にわたり規定されていますが、概要としては、以下の通りです。

  • 個人データの処理についてのデータ主体の同意
  • EU代理人の選任
  • DPO(データ保護責任者)の選任
  • 適切なセキュリティ措置の実施
  • 個人データの侵害行為があった場合に監督機関やデータ主体への通知
  • データ主体の権利を保護するための技術的・組織的措置

その他、細かいルールが定めれれており、企業としては、完璧な対策をすることは、非常に労力がかかります。

まずは、ここだけGDPR

上記のように、細かいルールが定められているGDPRですが、大企業は、年単位で準備を進めていました。

しかし、それをスタートアップ、ベンチャー、中小企業が行うのは現実的ではありません。

そこで、スタートアップ、ベンチャー、中小企業が、今日からできる、ここだけやっておくべき対策をご紹介します。

なお、これだけやっておけば、完璧というものではありません。最終的には、対策をする必要がありますが、まずは、最低限、ココだけは守りましょうという意味で記載しています。

プライバシーポリシーを見直す

GDPRでは、プライバシーポリシーで定めておくことが規定されています。

その中でも、以下の点については、明確に規定されているか、確認しましょう。

  • 利用目的を、明確に特定する
  • ユーザーから、個人情報開示請求や個人情報の停止請求についての具体的な手続き
  • ユーザーに対して、個人情報の問い合わせ窓口を記載する

個人情報を取得するときに、プライバシーポリシーに同意させる

上記のように、GDPRでは「個人データの処理についてのデータ主体の同意」が求められています。

これは、個人情報を取得する際に、プライバシーポリシーに同意してもらう方法がよいでしょう。

同意してもらう際には、「当社が、当該個人データの日本への移転について明示的に同意したものとみなします」という規定も入れて方がよいです。

GDPR対策は、できることから、コツコツと

以上のようにGDPR対策は、非常に労力を要するものです。

スタートアップ・ベンチャー・中小企業が、いきなり完璧を追及するのは、現実的に不可能です。

これらの企業は、まずは、できることから対策をし、自社に負担にならないように対策をしましょう!