海外との仕事で注意しておきたい、GDPR法とは？

2018年5月25日（金）より執行されるGDPR（一般データ保護規則）をご存知ですか？

EUにおける個人データに関する新しい法律ですが、間接的にでもEUと取引がある企業に関係があるため、日本に所在地をおく日本の企業にも関係があります。

今回のブログでは、GDPRとは何か、特に海外と仕事をする企業にわかりやすい形で知っていただこうと思い、GDPRについてまとめました。

あくまでもオンライン上で調べた内容であり、当社は法律の専門家ではないことをご理解の上、気になる点は、法律の専門家にお尋ね頂ますようお願いします。

GDRPは、The General Data Protection Regulation の略で、これまでEUで施行されていた一般データ保護指令を一新し、より厳しくデータ管理の方法や基本的権利について定めた法律です。

2018年5月25日（金）から施行されますが、これまでの法律と違い、法的強制力（罰則等）も付加されます。

また、EUの規則ではありますが、EU内の個人に関するデータを収集する場合には、日本にあるようなEU圏外の企業も例外なく対象となります。

つまり、日本から輸出や通販の他、旅行や宿泊等の予約により、EU内の人に有償/無償のサービスを提供している場合、日本国内でデータ管理をしていてもGDPRに沿ってデータを管理する必要があるのです。

それでは、EUと取引のある中小企業がGDPRについて何をどこまですればいいのか、大まかに説明します。

*詳しい情報、個々特有の事情に関しては、法律専門家にご相談下さい。

GDPRは、5つの基本原則で成り立っています。

• 任意性：データの提供は任意であり、拒否や撤回することが可能であること。
• 具体性：データの提供者から得たデータは、どのような目的で使うかが明確であること。
• 理解しやすい：データの提供者に対し、データの使用目的が理解しやすい表現で説明されており、同意方法や撤回の方法が明確で簡易であること。
• 曖昧でない：データ提供者が同意した事実が明確であること。（記録など）
• 能動的な合意：データ提供者が能動的に同意した場合のみ、合意を得られたとする。（例えばデフォルト設定で「同意する」が選択されている場合は不可）

対象になるのは、潜在顧客・顧客・EU圏内の従業員などの個人データのうち、直接的・非直接的に個人の特定につながる情報全般となり、氏名、メールアドレス、電話番号、住所、顔写真、銀行口座の詳細、SNSへの投稿、IPアドレス、クッキー、医療関連の情報などが含まれます。

データ保護専門家のSuzanne Dibble氏によると、「自分が顧客だったらどのようにデータを扱われたいか」を念頭にデータを管理すれば、中小企業は大方必須条件をクリアすることができるそうです。

1）データを集める時、何にどう使うか分かりやすくする

GDPRのもとでは、分かりにくい法律用語が羅列している長々しい個人情報規定を顧客に提示し、受動的な合意を得るのはNGです。

個人情報を集める際、情報提供者が
・情報収集の目的
・情報の用途
・情報管理方法
・情報提供の同意・撤回方法

を理解した上で同意する必要があります。

２）個人情報保護規定を作る

個人情報などをどのように使用しているのか透明化を図るために、サイト上に個人情報保護規定を掲載することが一番無難です。

個人情報保護規定に盛り込む内容の例：

• 集めるデータの種類
• データを集める目的
• データをどう保管するか（方法、期限等）
• 第三者への受け渡しをどう扱うか（データをDropboxやニュースレター配信サービスで使う場合、業務委託者との共有も第三者への受け渡しに含まれる）

それぞれの企業で全くデータの使い方は異なりますので、インターネットから個人情報保護規定をコピペすることはお勧めできません。自社にあった内容で作成しましょう。

３）同意を再度得る

これまで集めたデータが、GDPRに準ずる方法で収集されていたのであれば特にアクションは必要ありません。

しかし、そうではなかった場合には、再度使用に関する同意を得る必要があります。

心配であれば、改めてEUの顧客から同意を得ることが一番無難です。

実際、皆様の受信トレイにもGDPR施行に向けてEU圏と取引のあるの企業からこのような同意メールが届いているかもしれません。
もし何もアクションを取らないことを選ぶのであれば、なぜそれを正当と考えたか、理由を残しておくと安心です。

１）データ保護責任者の任命

色々なビジネス情報サイトを読むと、「場合によってはデータ保護責任者の選任が必要になる」と書いてあることもありますが、中小企業の場合大規模なデータ収集をしていないのであれば必要ありません。

• データ保護責任者の選任が必要な場合は以下の場合です。
• 公的法人である
• 大規模で計画的なデータ監視をする法人である
  特に取扱注意の個人情報（医療データ、性指向、宗教、政治的指向など）を大規模で扱う法人である　（第37条より）

２）過度な心配

GDPRの本来の目的は、大規模なデータの悪用を防ぐことですが、GDPRを遵守しないと、「最大で当該企業の全世界年間売上の2％以下または1千万ユーロ以下のいずれか高い方」という高額な制裁金が付くことになっています。

以前の一般データ保護指令は、20年前に制定され、それ以降インターネットが爆発的に普及し、商売の方法も全く変わりました。そこで21世紀の風潮に合わせ、大規模なデータ搾取を防止するためにGDPRが採択されたのです。

一説にはアメリカや他国でもこのような法律の整備が進むとも言われていますので、過度な心配をしたり、GDPRの遵守を防ぐためにEUとの取引を避けるのではなく、「個人情報を守ろうとする姿勢やGDPRの理念に寄り添った努力」を行うことが重要です。

大規模で組織的なデータ収集を目的としていない中小企業が制裁される可能性は低いと思われていますが、ぜひ当ブログの内容やインターネット上にある様々な情報、専門家の意見などを参考に、顧客の個人情報の扱いに関して、GDPRに遵守できるように対策を練って頂けたらと思います。

これまでは、個人データの用途が明確でなくても、小難しい言葉遣いで説明していてもなんとかなりましたが、GDPRでは具体的なデータ使用目的を伝え、デフォルト設定の同意でなく能動的な同意を得る必要があるうえ、また、同意の拒否・撤回の仕方も明確にする必要がります。

また2018年5月25日からはサービス提供者が世界のどこにいようと、EU圏内の人のデータを収集・管理するのであれば対象になります。

しかし、守るべきことを守れば、データを使ったマーケティングに対して消極的になる必要は全くありません。むしろ、個人情報を丁重に扱っているというアピールにもなります。現代特有のニーズに寄り添いながら、海外の顧客の満足度を上げていきたいところです。

*詳しい情報、個々特有の事情に関しては、法律専門家にご相談下さい。