GDPR

GDPR(EU一般データ保護規則)で日本のブロガーに関係あるの?

GDPR

EUでは、2018年5月25日にGDPRが施行されます。5月に入ってから、様々な企業からプライバシーポリシーの改定について案内が多数届いています。このGDPRって日本には関係ないと思っていませんか?
実は、日本にも影響があるケースもあります。

だからといってどうすればいいんだろうなんて悩む必要はありません。

やるべきことは2つ。

  • 個人情報を適切に管理すること
  • プライバシーポリシーに、何のために何を利用しているのか分かりやすく記載すること

これさえできていればOKです!

難しくて何のことか理解できないという方に向けて、簡単にまとめてみました。

あわせて読みたい
GDPR
GDPR(一般データ保護規則)の関連記事まとめGDPRが施行されてまだ日が浅く、あまり情報がありません。情報収集を兼ねてブックマークをしているので、ぜひ参考にしてみてください! ...

 

GDPR(EU一般データ保護規則)とは

GDPR(EU一般データ保護規則)は個人データの保護を目的とした法律です。個人データの適切な管理が求められており、違反すると高額な罰金が科せられます。

GDPRのポイントは3つ。

  1. 公開情報をわかりやすく表現しているか
  2. 個人データを扱う企業の事業部門(担当)が対策を取っているか
  3. 個人情報漏えいなど事故発生時に72時間以内に報告できるか

GDPR(一般データ保護規則)の前進は、1995年にEUで採択され日本の個人情報保護法にも影響を与えた「データ保護指令」です。
この法律を現在の環境に合わせたものが、GDPR(一般データ保護規則)です。

※GDPRは、General Data Protection Regulationの略称です。

GDPRでの個人データの定義

氏名・メールアドレス・位置データといった個人を特定できる情報のこと。

個人データとは例えば次のようなものがあります。

  • 氏名
  • 電話番号
  • メールアドレス
  • キャッシュに保存される識別番号
  • 住所
  • IPアドレス、クッキー
  • クレジットカードの情報
  • パスポートや運転免許証の情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する情報
ずえ
ずえ
個人データとは個人情報のこと。氏名や電話番号の他にも、よくWEBマーケティングで使われるグーグルアナリティクスのデータや、リタゲ用のデータも個人情報に含まれます。

GDPRの個人データの範囲は?

  • 短期出張や短期旅行でEU内に滞在する日本人の個人データを日本に移転する時
  • 日本企業から EU内に出向した従業員の情報(元は日本から EU内に移転した情報)
  • 日本から EU内に個人データを送付する場合(基準に沿って EU内において処理されなければならない)
  • 日本から EU 内に個人データが送付され、EU内で処理された個人データを日本へ移転する場合
ずえ
ずえ
日本もGDPRの対象になります!

つまり、EU(EEA)に拠点や現地法人を持たない日本企業のサイトであっても、EUからアクセスできる公開サイトに、お問合せやメルマガ購読のような名前やEmailアドレスを入力するフォームを設置したり、GoogleアナリティクスやAdobe Analytics(やCookieに固有IDを保存するマーケティングツール)を一つでも導入しているだけでGDPRの規制対象になる、というのが今のところの私の理解です。

引用:GDPRの対策としてWebアナリストがすべきこと

GDPRに違反したときの罰則

罰金の最高額は、2000万ユーロ(1700万ポンド、2400万ドル、26億円)、または年間売上セールスの4%(どちらか大きい方)

ずえ
ずえ
えげつない金額ですよね。

GDPRはなんのためにあるの?

GDPRは、自分で自分の情報をコントロールできるようにすることが望ましいよねということで作られました。

例えば、位置情報やトラッキングの情報を自分の意思で拒否できるようにするためです。

GDPRの注意点

  • EU加盟国に支店・現地法人などが無くても、ネット取引などでEU加盟国に住んでいる人の個人データをやり取りする場合は対象になる
  • 組織の規模・公的機関・非営利団体等関係なく対象になる
    (但し、中小零細企業に一部例外措置あり)
  • データ保護責任者(Data Protection Officer:DPO)やEU内に代理人(Representative)の選任が必要になるケースがある

GDPRの対応が間に合っていない企業だ大多数?

GDPRはブロガーに関係あるの?

個人的な見解です。個人であっても、ブログでGAの設定をしている場合(キャッシュに保存される識別番号)や、メルマガを発行している場合(メアドや氏名など)、販売をしている場合(氏名・住所・メアドなど)は、EU居住者が購読する可能性もあるので対象になるものと考えています。

そのため、取得した情報をどのように使うのか明確に記載し、どのように管理するのか、いつ削除するのかといったことを明確に決めたほうが良いでしょう。

ずえ
ずえ
乱暴ですが、EU国内のIPアドレスを拒否することで対応する方向で検討している企業もあるとのこと。

ブロガーが気を付けること

  1. 必ず個人情報の取得時にはオプトインさせること(同意を得る)
  2. プライバシーポリシーにわかりやすく明記すること
  3. 個人情報を適切に取り扱うこと(不要なデータは削除すること)
  4. 商品の購入者、サービスの提供者がEU国内に居住している場合は含まれる点に注意

結論

EU圏外に拠点を置く組織でも、GDPRが適応されます。

日本に本社を置く組織であってもEU市民のデータを処理するあらゆる組織は、GDPRの対象となり違反したときには罰則が科されます。

しかし、2018年5月25日に試行されたばかりで、判例もなくどこまでが許されるのか、解釈があいまいな部分も多々あります。

なので、常に情報収集を行うようにし、すぐに対処できるよう担当者をつけることが望ましいと思われます。

 

GDPR用語解説

EEA(欧州経済領域)

EU加盟国 28か国 + 3か国(ノルウェー、アイルランド、リヒテンシュタイン)が加盟する、欧州における共同市場およびその枠組み。

個人データ

個人データとは、いわゆる個人情報のこと。

たとえデータ単体では個人を識別することができなかったとしても、複数のデータを組み合わせることで個人を識別することができると考えられる場合、個人データとみなされます。

 

ABOUT ME
ずえ
ずえ
コンテンツプランナー・IT系OLブロガー・ライターの 大賀ずえです。 都内のIT企業でWEBマーケティング・SNSマーケティング・コンテンツマーケティングを行っています。 ディレクションから、ライティング、編集など多岐にわたります。