BtoB企業にも影響がある いまさら聞けないGDPR(EU一般データ保護規則)とは。

トレンド

  • このエントリーをはてなブックマークに追加

GDPR(EU一般データ保護規則)は、EU(欧州連合)が制定した個人情報保護のための規則です。GDPRはWEB情報の取得・解析を行う全ての企業にとって影響を与える可能性があり、BtoB企業もその例外ではありません。
今回は、いまさら聞けないGDPRとは何かについてご紹介します。

GDPRとは

GDPRとは

GDPR(=General Data Protection Regulation)とは、EUが制定した個人情報保護のための法律で個人データの扱いに関するルールが規定されています。また、GDPRは『EU一般データ保護規則』とも呼ばれます。
GDPRは、1995年に制定された「EUデータ保護指令」(=Data Protection Directive: 95/46/EC)に置き代わるかたちで、2018年5月25日から施行されました。

近年、海外ではWEB上で使用されるIPアドレスやCookieなどのデータを個人情報として取り扱う傾向が高まっており、GDPRもそうした傾向の一つといえます。

GDPRでは主に、個人情報の「処理」と「移転」の2つについて規定されています。
前述のIPアドレスやCookieなどのデータを含む幅広い定義での個人情報が対象であり、
例えば、認定を受けていない第三国への個人データ移転が禁止されていたり、個人データの収集・利用について本人の明確な同意が必要になったり、万が一情報侵害があった際の監査当局への通知義務が発生したりします。また、一定の要件を満たす場合、データ保護に関する専門知識を保有した責任者(DPO)を設置する必要がでてきます。

「EUデータ保護指令」との違い


●定義・位置づけの違い
GDPR(EU一般データ保護規則)と、その前進であるEUデータ保護指令の最も大きな違いは、それが「規則」であるか「指令」であるかという点です。

GDPRは「規則」であり、EUデータ保護指令は「指令」に当たります。

EUにおける「規則」とは、細かなルールを定めた法令であり法的な拘束力を持っています。EU加盟国は自国の国内法よりも優先してこれに従わなくてはなりません。一方で「指令」は、EU加盟国に対して定められた期日までに国内法を制定することを各国へ指示し、その指針を明らかにしたガイドラインのような存在です。

EUデータ保護指令では、各国で制定された国内法に大きなバラつきが生じたためEU圏内で多国籍に活動する企業にとって不便がありました。GDPRが施行されたことで、EU全域に共通した個人情報保護の規則が適用されることになりました。


●規定内容の違い
GDPRは、前進であるEUデータ保護指令と比べてに規定内容について主に次のような違いがあります。

 ① 違反すると罰則がある。
 ② EU以外の国でも対象になる。


この2点はGDPRの最大のポイントともいえ、EU以外の国でもGDPRに違反した場合高額な罰則金が課せられるため、企業・非営利団体など各組織は注意しなくてはなりません。

GDPRに違反した場合の罰則

GDPRに違反した場合、企業全体の年間売上金額の4%、または2,000万ユーロのいずれかのうち、より高額である方の罰則金が課せられます。
2017年12月~2018年11月迄の1年間の為替レートを平均すると、1ユーロ=130円で罰則金2,000万ユーロはおおよそ26億円にも相当する金額です。

GDPRの対象となる企業

GDPRは基本的にはEU加盟国に対して適用される法令ですが、会社の所在地や商材の提供先、WEBで情報を取得したユーザーの所在地などによってはEU加盟国以外の国の団体でも対象になります。これは、BtoC企業・BtoB企業問わず影響する可能性があるものです。特に、自社サイトやオウンドメディア、MAなどを活用してユーザーのWEB行動履歴等の情報を取得・活用していたり、CRM、オンライン広告、DSP、CDP、BIツールなど使用して個人情報を活用している企業は要注意です。

具体的には、次のような場合にEU加盟国以外の国でもGDPRが適用されます。


<GDPRの主な適用対象項目>

・EU圏内に商材を提供している場合
・EU圏内に子会社や支社・支店などを有している場合
・EU圏内から個人情報の処理について委託を受けている場合
・EU圏内にいるユーザーのWEB行動情報(IPアドレス、Cookieなど)を取得している場合

GDPRへの対応方法

まずは、自社がGDPRに対応する必要があるのか調査しましょう。上述の<GDPRの主な適用対象項目>をはじめとしたGDPR適用対象項目をチェックし、自社が適用対象であるかどうか確認します。
特に、WEBサイトでIPアドレスやCookieを取得している企業はGoogle Analytics等のツールを活用してEU圏内のユーザーからアクセスがないか確認することが大切です。

GDPRへの対応を実施する必要がある場合は、主に以下の項目を整えていくことが必要になります。


① 自社に関連がある個人情報の種類と所在・流通経路を明らかにする。
② データ管理・インシデント対応の社内体制整備

 例)
 ・データ保護責任者、各種個人情報保護対応者などの設定
 ・個人情報に関して専門知識を持った人材の確保
 ・取得した個人情報について、消去権を請求された場合に迅速に対応できる業務フローの構築 など

③ 社内への個人情報取り扱いに関するルールの周知・徹底
④ セキュリティ対策の強化
⑤ 個人情報保護方針の策定

 例)
 ・個人情報保護方針を文書化
 ・プライバシー&ポリシーの改定 など


以上のように、GDPRへの対応に必要な項目は多岐に渡ります。個人情報保護に関する専門的な知識が必要となりますので、ご自身での対応が難しい場合には個人情報保護に詳しい専門機関へ支援・代行を依頼することも視野にれるとよいでしょう。個人情報に関する意識が高まりつつある現代、しっかりとGDPRに対応し、不本意なトラブルや事件に巻き込まれないよう充分な対策を講じることが大切です。

BtoBデジタルマーケティングに関するご相談・ セミナー

ご相談・お問い合わせ

03-5159-6664
(受付時間:平日 9:00~18:00)

お問い合わせ・資料請求

セミナー

BtoBマーケティングに関して
お気軽にご相談ください。

詳細はこちら