2018年5月25日に適用が開始された「GDPR」をご存知でしょうか。
日本企業にも影響を及ぼすGDPRですが、総務省の調査によると、「GDPRの規制内容を知っている」と回答した企業はわずか5%未満。「知らない」という回答は約64%にものぼり、GDPRに関する理解はまだ不十分であることが浮き彫りになりました。
GDPRのルールに違反すると、巨額の制裁金が課されるおそれがあります。このようなリスクを避けるためにも、経営者として、「GDPRとは一体何なのか」「日本企業にはどのような影響があるのか」など、ポイントを押さえておくことが必要です。
今回は、経営者が押さえておくべきGDPRの概要を解説します。
GDPRとは
GDPRとは、General Data Protection Regulation(EU一般データ保護規則)の略称です。名前からわかるとおり、EU(ヨーロッパ連合)が定めた個人データ保護を目的とした規則です。
2016年5月24日に発効され、2018年5月25日から行政罰を伴う適用が始まりました。
参考:EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)(日本貿易振興機構)
日本の企業にどのような影響があるか
GDPRは、EUが定めたルールです。日本の企業が日本国内に居住する日本人を相手にビジネスを行う限りにおいては、影響はありません。
しかし、日本企業がEEA(欧州経済領域)に関わるビジネスを行う際には、注意が必要です。EEAとは、EU加盟28ヵ国に加え、アイスランド、リヒテンシュタイン、ノルウェーの3ヵ国を含んだ地域です。
日本国内でビジネスを行っているつもりでも、意外にもEEAと関わるケースは数多く存在します。どのような場合に注意をすればよいのか、具体的なケースを見ていきましょう。
商品やサービスをEEA居住者に提供する
オンラインで商品を販売している場合、注意が必要です。日本で運営しているウェブサイトからEEA居住者が商品を購入する場合、GDPRの適用対象となります。
たとえば、日本に本社を構える旅行会社が、EEA域内に居住する日本人に対して、航空券やガイドブックを販売する場合は、適用対象となります。
このような場合、顧客がウェブサイト上で入力した住所や電話番号、クレジットカード番号などの顧客情報は、GDPRのルールに従って処理しなければなりません。
EEA域内に出張、旅行をする
適用対象は、「EEAに所在する個人」で、国籍や居住地は問いません。
「居住地を問わない」ということは、「日本に住んでいる日本人であっても、一時的にEEA域内を訪れるときにはGDPRの規制が及ぶ」ということです。
ビジネス目的の出張に限らず、観光目的の旅行や、家族や友人に会うための訪問であっても、EEA域内を訪れるときには適用対象となります。
よって、出張中や旅行中に個人データを交換した場合は、GDPRのルールに従って処理しなければいけません。
子会社や支店をEEA域内に置いている
日本に本社がある場合であっても、「ビジネスの拠点」がEEA内にある場合は、GDPRの適用対象となります。
「ビジネスの拠点」とは、「子会社」や「支店」のことで、規模は問いません。駐在員が1名だけ在籍する支店であっても、適用対象となります。
対象となるのは、大企業のみならず、中小・零細企業も同様です。また、営利活動に従事する企業のほか、非営利法人や公的機関なども含まれます。つまり、ビジネスの規模や形態に関わらず、EEA域内でビジネスを展開する場合は、GDPRへの対応が必要となります。
EEA域内の子会社や支店でのビジネス活動は、全てGDPRの規制が適用されます。日本企業に雇われている日本人であっても、EEA域内の支店に出向している間は、GDPRのルールに従わなければいけません。
上記の通り、日本企業にGDPRの影響が及ぶケースは意外と多く存在します。それでは、GDPRの規制が及ぶ場面では、どのようなことに気をつければよいのでしょうか。
GDPRの適用対象となる「個人データ」とは
GDPRのルールを理解するためには、そもそもどのような情報が「個人データ」として保護されているのかを理解しなければいけません。「個人データ」の定義を誤って理解していると、GDPRに違反してしまうおそれがあります。
GDPRが保護している「個人データ」とは、どのようなものでしょうか。
「個人を特定しうる情報」が対象となる
GDPRでは、「個人を特定しうるあらゆる情報」が対象となります。氏名や住所はもちろんのこと、クレジットカード番号や電話番号、マイナンバーやIPアドレスなどの数値的な情報も対象となります。
経済的な情報も、個人データに含まれます。たとえば、「年収340万円」という給与の情報は、個人データとしてGDPRの規制が及びます。
さらに、顧客情報に限らず、従業員の情報もGDPRの適用対象となります。従業員の所属や役職、職務内容、内線番号、上司による評価なども適用対象となります。
企業や法人、死者の情報は対象外
GDPRの適用対象は、あくまで「生存している個人」です。企業や法人に関するデータは対象とはなりません。死者のデータも対象外です。
匿名化された情報には規制が及ばない
生存している個人の情報であっても、完全に匿名化されている情報であれば、規制が及びません。
完全に匿名化された情報とは、たとえば顧客リストを頭文字だけで登録している場合です。「Aさん・30代」「Bさん・関東在住」というように、個人を特定することができないレベルに抽象化された情報であれば、対象から外れます。
匿名化の判断基準は、「個人を特定できるか」という点です。たとえば、名前だけ頭文字にしていても、「Aさん、独身32才、年収365万円、世田谷区在住、愛媛県出身」のように周囲の情報が含まれていれば、個人を特定できる可能性があります。このような情報は匿名化されているとはいえないため、対象となります。
GDPRの6原則
GDPRの規制が及ぶ「個人データ」は、どのように取り扱えばよいのでしょうか。GDPRが定める「個人データの処理に関する6原則」について説明します。
1, 適法性、公平性および透明性の原則
個人データは、適法、公平かつ透明性のある手段で処理しなければいけません。「適法」とは、個人データの主体者の同意のもとで情報を処理するということです。
つまり、本人の同意を得ることなく無断で個人データをビジネスに利用することはできません。たとえば、街頭でアンケートを行う際に、目的の説明もなしに、個人データの記入を強制することはできません。
アンケート用紙にメールアドレスや電話番号の記入欄があるのであれば、「回答内容についてお電話で詳しく回答してもよいという方のみ電話番号をご記入ください」「新商品のご案内を希望される方のみメールアドレスをご記入ください」など、目的を説明して本人の同意を得ることが必要です。
2, 目的の限定の原則
個人データを収集する場合は、明確な目的を持って収集しなければいけません。一度集めた個人データは、本来の目的と異なる方法で利用することはできません。
たとえば、過去に商品を送付したことがある顧客の住所に、新商品の案内ハガキを送ることはできません。顧客の住所は、あくまで「商品の送付先」として入力された情報です。別の商品の案内を送るために利用することはできません。
3, 個人データの最小化の原則
個人データを集める場合は、2の目的の範囲内で、必要最小限の情報に限らなければいけません。
たとえば、美容院を訪れた顧客に対して、髪質やヘアスタイルについて質問することはできますが、住所や電話番号を尋ねることはできません。住所や電話番号の記載を求める場合は、「住所や電話番号の欄は空白で構いません。お店からのキャンペーン情報をご希望であれば、ご記入ください」などの説明が必要です。
4, 正確性の原則
個人データは、正確に保存しなければいけません。保存している情報が誤っていることが発覚した場合は、すぐに訂正する必要があります。
5, 保管の制限の原則
個人データを保管する場合は、2の目的に照らして最小限の範囲に限らなければいけません。ビジネス上の必要がなくなった場合は、速やかに消去しましょう。必要な期間を超えて保存することは許されません。
たとえば、商品を購入した顧客の情報は、返品期間や保証期間においては正当に保管することができます。これらの期間を経過した場合は、速やかに消去しなければいけません。
今後のマーケティングのために顧客情報を保存したいという場合は、情報を匿名化するなどの対策が必要です。
6, 完全性および機密性の原則
個人データを保存する場合は、適切なセキュリティのもとで管理しなければいけません。ハッキングなどによって個人データが漏えいしないように、万全かつ最新の設備で対策を取る必要があります。
万が一個人データの漏えいが発覚した場合は、迅速に対処しなければいけません。情報が漏えいしたことを72時間以内にGDPRの監督機関へ通知することが義務づけられています。
名刺の取り扱いには特に注意が必要
日本では一般的なビジネス慣習として名刺交換が行われていますが、EEA域内で取得した名刺の取り扱いには特に注意が必要です。名刺に記載されている個人データを無断で日本に持ち帰ると、GDPRに違反するおそれがあります。
GDPRのルールでは、「ビジネス上で取得した個人データをEEA域外に移転することは原則として禁止」です。名刺に記載されている氏名や肩書きも「ビジネス上で取得した個人データ」に当たるため、GDPRの規制が及びます。
たとえば、日本企業がEEA域内の展示会に参加した際、来場者から名刺を入手したケースでは、名刺に記載されている個人データは、GDPRの対象となります。GDPRのルールに従って慎重に取り扱わなければいけません。
名刺に記載されている個人データは、原則としてEEA域内で保管しなければいけません。無断で日本に持ち帰ることはできません。名刺交換をしたときの会話の流れで、「今回は日本から展示会に駆けつけたため、展示会が終わり次第日本に帰らなければいけない」ということが相手に伝わっていれば、名刺を日本に持ち帰ることについて相手が同意しているものと捉える余地はあります。しかし、リスクを避けるためには、名刺を持ち出すことについて相手にきちんと説明することが必要です。
また、EEA域内で名刺を保管していたとしても、名刺に記載された情報を無断でビジネスに利用することはできません。展示会に関連のない新商品の紹介を送付すると、GDPRに違反するおそれがあります。このようなリスクを避けるために、JETRO(日本貿易振興機構)では、自社の名刺の中に「名刺交換をさせて頂いた方には、当社の商品やサービスに関するご案内を差し上げることがございます」と記載する方法を紹介しています。
参考:EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)(日本貿易振興機構)
なお、展示会を訪れてくれたことへのお礼状を送ることは、名刺を渡した本人が予測しうる範囲内のことなので、GDPRに違反しないものと考えられています。
GDPRの厳しい罰則
GDPRのルールに違反した場合、最高で2,000万ユーロ(約22億6,000万円、1ユーロ=113円として換算)の制裁金が課されます。前年度の全世界年間売上高の4%が2,000万ユーロ以上であれば、その金額が制裁金として課されます。
2,000万ユーロという金額は、EUが定める罰則の中でも特に厳しい制裁金です。厳しい罰則を定めることで、世界中の企業がGDPRのルールを厳格に遵守するように働きかけています。
GDPRはEUが定めたルールですが、日本企業に影響が及ぶケースは数多く存在します。日本人が海外に出張する際や、日本企業がオンラインで海外と取り引きをする際などは、特に注意が必要です。
GDPRのルールに違反した場合は、巨額の制裁金が課されるおそれがあります。このようなリスクを避けるためにも、経営者としては日ごろから「GDPRの6原則」を念頭に置き、個人データの管理について万全の注意を払うようにしましょう。
関連記事
・越境ECで世界へ!越境ECのメリットと導入の手順
・経営者なら知っておきたい「商標」について
執筆は2018年6月21日時点の情報を参照しています。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash