最先端AIセキュリティ「Seceon OTM」(セキオン) > サイバーセキュリティーブログ > メディア > セキュリティの基礎 > グローバル企業への影響は?欧州で施行された「EU一般データ保護規則(GDPR)」とは

グローバル企業への影響は?欧州で施行された「EU一般データ保護規則(GDPR)」とは

セキュリティの基礎
注目記事GDPR
  • LINEで送る
  • このエントリーをはてなブックマークに追加
グローバル企業への影響は?欧州で施行された「EU一般データ保護規則(GDPR)」とは

日本では個人情報を守るために、個人情報保護法という法律があります。これと同じように、欧州ではデータ保護のための法律「EU一般データ保護規則(GDPR)」があります。
日本の個人情報保護法と相違点もたくさんありますが、情報を保護するための法律という意味では似ています。

本稿では、欧州で施行された「EU一般データ保護規則(GDPR)」とそのグローバル企業への影響についてご紹介いたします。

目次

1EU一般データ保護規則(GDPR)とは

2GDPRで保護対象になる個人データと例

3GDPRの日本企業への影響と対策が必要になるケース

4欧州向け越境ECサイトとマーケターが覚えておきたいポイント

5GDPRは適用範囲の広さと罰則の重さが特徴

EU一般データ保護規則(GDPR)とは

EU一般データ保護規則(GDPR)は、General Data Protection Regurationの略で、EU(欧州連合)内のすべての個人のために情報を保護することを目的とした法律で、2016年5月25日から施行されました。
日本でいう個人情報保護法に似ていますが、罰則規定が厳しいのが特徴です。

個人情報保護法の場合、罰則は6ヵ月以下の懲役または30万円以下の罰金ですが、GDPRの場合、企業の全世界売上の4%以下または2,000万ユーロ(約26億円)のいずれか高い方が適用されます。つまり、GDPRに違反すると、最低でも26億円もの罰金を課される可能性があるわけです。

GDPRの目的は大きく3つあります。
まず、個人が自分のデータをコントロールする権利を保証することです。この考え方は日本の個人情報保護法と同じです。

2つめは、EU内の規則を統一することです。それまではEU内でも国ごとに個人情報保護の扱いがまちまちでした。EUをひとつの経済圏として運営するためには、個人情報保護の扱いを統一した方が何かと便利です。

最後に、国際的なビジネスのための規制環境を簡潔にすることです。
GDPRの取り決めは比較的簡単で理解しやすく、国際的に認知されやすい規則となっています。

GDPRで保護対象になる個人データと例

本規則は、データ管理者、または処理者、またはデータの主体がEU内に拠点を置く場合に適用されます。
ここでデータ管理者とは、EU内の居住者からデータを収集する組織のことを指します。 また処理者とは、データ管理者の代行としてデータを処理する組織のことを指します。 またデータの主体とは、EU内の個人のことを指します。
簡単にいうと、データを収集または処理する者、または収集される個人がEU内にいる場合に適用されるわけです。

それでは、EU内に居住する個人のデータをEU外に居する組織が収集または処理する場合、GDPRは適用されるのでしょうか。答えはイエスです。「収集される個人がEU内」なら、そのデータを例えば日本に所在する企業が収集または処理しても、GDPRは適用されます。

そして、GDPRで保護対象となる個人データとは、個人に関するあらゆる情報です。私生活であれ、公的生活であれ、職業であれ、すべて対象となります。たとえば、氏名、住所はもちろんのこと、写真、電子メールアドレス、銀行口座の情報、医療情報、コンピュータのIPアドレス、はてはSNSへの書き込みまで、ありとあらゆる個人に関する情報です。 これは日本の個人情報保護法よりはるかに広い対象範囲です。

GDPRの日本企業への影響と対策が必要になるケース

先ほどご説明したように、GDPRはEU諸国の企業だけに適用されるわけではありません。場合によっては日本に所在する企業にも適用されます。

それでは具体的には、どのような条件を満たした時に日本所在の企業に適用されるのでしょうか。
それは、次のような条件です。

(1)EUに子会社や支店、営業所などを持つ企業
(2)日本からEUに商品やサービスを提供している企業
(3)EUから個人データの処理について委託を受けている企業

(1)はわかりやすいかと思います。本社が日本にあっても、関連機関がEU圏内にあれば適用されるのは直感的に理解できます。
(2)は少々注意が必要です。EUに商品やサービスを提供しているということは、EU圏内の個人に関する情報を扱っているはずです。従って、GDPRの適用範囲に入ります。
(3)は完全に適用範囲ですが、ここでも注意が必要です。それはGDPRでいう個人データと、日本人の感覚(個人情報保護法)の個人情報に差異がある点です。GDPRでいう個人情報は非常に広範囲に及ぶため、注意しないと日本では保護対象外となっている事柄まで対象となっており、GDPR違反になってしまう恐れがあります。

欧州向け越境ECサイトとマーケターが覚えておきたいポイント

欧州向けに開設している(または欧州からも利用されている)ECサイトを運営している場合も注意が必要です。
というのも、GDPRは、管理者または処理者が欧州経済圏内で行う処理にも適用される、とされているからです。

つまり、EU圏内にいるユーザのWeb上の行動データを取得している場合も、GDPRが適用されます。
たとえECサイトで(日本でいう)個人情報を収集していなくても、前述の通りIPアドレスやSNSの書き込みまで保護対象になる規約です。当然ながらCookieも保護対象です。ECサイトに限らずメールフォームを通じて個人情報を受け取るサイトを運営している場合にも、GDPRが求める保護措置を取らなければ違反にあたります。

GDPRは適用範囲の広さと罰則の重さが特徴

本稿でご紹介したように、GDPRはとにかく適用範囲が広いことと罰則金が重いことが特徴です。気がつかないうちに自社が罰則対象となっていることのないよう、EU圏に少しでも関わりのある商流を持っている場合は、GDPR対象なのかそうでないのかをしっかりと見極めましょう。

【無料ダウンロード】サイバーセキュリティに関するお役立ち資料

FAQ

機能・特徴について
契約・お支払いについて
業務範囲について

リスクコントロールに関する
お役立ち資料

リスクコントロールに関するお役立ち資料
無料でダウンロードする

サイバーセキュリティについての
相談承ります

製品・サービスに関する資料請求、導入のお⾒積もりについてのご相談、その他のお問い合わせはこちらで承っております。

詳しくはお問い合わせください

無料でトライアル利用ができます

製品版と同じものを無料でお試しいただけます。
基本的な動作や各種設定など、実機を用いてご案内します。
ご検討中の方は、お気軽にお問い合わせください。

無料トライアルお申込
デモ版の図
  • LINEで送る
  • このエントリーをはてなブックマークに追加