EU一般データ保護規制

この文書は、EU一般データ保護規制(GDPR)に関し、当社の立場をまとめたものであり、法的助言を提供するものではありません。法的助言については各々の法務部門、顧問弁護士等にご相談ください。

トレンドマイクロ社の実態調査(2018年5月17日)によると、実に「名前だけは知っている」と「知らない」の合計が66.5%を占め、十分な認知・理解が進んでいない実態が明らかになっています。
Geolocation Technologyは行動指針の一つに、お客様のリスクと利益を正しく理解することを掲げ、広く社会から信頼される企業を目指しています。
GDPRの注目すべき点、並びに当社の立場についてまとめましたのでお役に立てば幸いです。

GDPRとは何ですか?

GDPRとは、EUで新たに施行される包括的なデータ保護法(2018年5月25日発効)です。急速に進む技術開発やグローバル化、国家間で行われる個人データのやり取りの複雑化といった状況を踏まえ、個人データ保護の強化を目的としています。さまざまなEU加盟国のデータ保護法を継ぎはぎの状態で適用している現状を改善し、各EU加盟国で法的拘束力を持つ規則に置き換えるために制定されました。

GDPRで規制対象となるのは何ですか?

GDPRは、EU域内の個人データの「取り扱い」に関連する事項を整備したもので、個人データの収集・保管・移転・使用について規定しています。EU域内の個人データを取り扱う全事業者がこの規制の対象です。EU域内に拠点を構えているどうかは問いません。GDPRにおける「個人データ」の定義は非常に広範で、識別された個人または識別し得る個人(「データ主体」)に関連するすべての情報が「個人データ」と見なされます。

GDPRの施行でプライバシー法はどう変わりますか?

主な変更点には、EU市民の個人情報保護権の強化、個人の権利侵害に関する通知義務、組織のセキュリティ要件の追加、顧客のプロファイリングおよびモニタリングに関する要求事項などがあります。また、EU域外への個人データの移転を認める拘束的企業準則を適用することや、GDPR違反があった企業に対し全世界での売上高の4%を罰金として科すことなども定められています。つまり、GDPRは国境を越えてやり取りされるデータの保護について、企業が主たる監督機関と連携し、適切な対応を講じさせるための法律といえます。

GDPRでは、個人データをEU域内に保持しておくよう求めていますか?

いいえ。GDPRでは、EU域内に個人データを保持しておくことを義務付けていません。また、EU域外への移転についても新しい制限は設けていません。
EEA域内から域外に個人データを移動させる場合は、データに関わる個人に対してGDPRと同等のデータ保護を保証するための様々な規制が適用されます。

IPアドレスは「個人データ」ですか?

GDPRにおける「個人データ」とは、「自然人を特定した、あるいは特定可能なあらゆる情報」とあります。「特定可能な自然人」とは、名前やID(識別子)、位置情報、オンライン識別子または1つ以上の物理的、生理学的、遺伝的、心理的、経済的、文化的、社会的地位といった要素によって、直接的あるいは間接的に特定できる人、ということになります。
Geolocation Technologyが提供する「SURFPOINT™」データは、IPアドレスを判定し、おおよその位置、接続タイプ、会社名、組織名などの匿名情報を関連付ける機能で、個人ユーザーの氏名や正確な住所、その他の一意の識別子は含みません。現行の日本の個人情報保護法においてもIPアドレスは「個人情報」、「個人識別符号」ではないとされています。

弊社サービスご利用上の注意事項

GDPRは、弊社サービスご利用企業が個別に収集/保有する様々なデータとの組み合わせで、最終的にEU市民(個人)が特定できるのであれば、EU監督機関がIPアドレスを含めて、すべて個人データとみなすリスクがあることを意味しています。
例えば、企業が運営するWebサイトで、EU市民(個人)が旅行や宿泊、レストランを予約したり、ニュースや記事などを見たり、カタログや資料を請求するために、メールアドレスや氏名等の登録を求めるケースがあります。この場合、Web(認証)サーバーのログを見ることで、どのIPアドレスがどの個人に割り当てられたのかが分ります。さらにいえば、GDPRではデータ単体を見るのではなく、個人データの「処理の目的」を重視しています。処理の目的が明確である場合、その処理を行うために必要なデータはすべて個人データとして取り扱い、EU市民(個人)に対して丁寧に説明しなければなりません。

GDPRは個人に関する様々なデータを企業が処理する場合のルールを定めています。加えて、自分の個人データがどのように処理されるかについて、個人に最大限のコントロールを保証しています。

  • 個人の同意がなければならない。
  • 想定していないような個人データ処理をしてはならない。
  • どのような個人データ処理を行うか丁寧に説明しなければならない。
  • 処理の目的に照らして必要以上のデータを処理してはならない。
  • 処理の目的となる業務が完了した後は、個人データを保持し続けてはならない。
  • 企業はGDPRを順守していることをいつでも証明できなければならない。
  • リスクの大きさに応じて、必要なデータ保護のための対策を講じなければならない。

GDPRを正しく理解するには、データだけを見て個人データかどうかを考えるのではなく、データを処理する目的を中心にした考え方を理解することが大切です。