2018年にEUで施行されたGDPR。
海の向こうの話ではなく、越境ECでEU向けに商品やサービス展開をしている場合日本企業であっても対象となります。GDPRの概要や対処すべき内容などを解説していきます。
GDPR(General Data Protection Regulation)とは
日本語で「一般データ保護規則」と訳されます。2018年5月25日に施行されました。
GDPRは個人データの処理及び個人データを欧州経済領域(EEA)から第三国に移転するために満たすべき法的要件を規定しています。
GDPRはEEA域内でのビジネスを行い個人データを取得する企業、公的機関に対して幅広く適用され、その対象は、EEA域内において事業所やシステムを持たずとも、EU圏内のユーザーのWEB上の行動データを取得している場合にも対象に含まれています。そのため、EUを明確にターゲットとしたビジネスではなくとも、インバウンド、海外向けのサイトを運営しており個人情報やcookieを取得している場合、対象となります。
GRDPに違反をした場合、巨額の罰則が発生する可能性もあり、インバウンドビジネスを行っている日本企業はGDPRに対応する必要性に迫られます。
GDPRの個人データ
GDPRにおける個人データとは、「氏名」「所在地データ」「メールアドレス」「オンライン識別子(IPアドレス、cookie)などが対象となっています。
この保護範囲の対象は、EEA域内に所在する個人は当然の事ながら、出張や旅行で短期でもEEA域内に所在する日本人や日本から出向した従業員の情報も含まれます。
適用範囲
GDPRの適用は、そのデータの管理者が処理者がEU圏外であっても、そのデータ主体に対して商品またはサービスを提供する場合にも適用されます。
すなわち、日本国内でEC事業を運営しており、EU圏内ユーザーをターゲットにした越境サイトを運営している場合、適用対象となります。
日本国内向けにECを行っている場合、偶発的にEU圏の消費者が商品を購入される可能性もありますが、この場合は適用範囲としてはみなされません。適用範囲としてみなされるかどうかは、サイトの言語や通貨などで総合的に判断されます。
制裁金
GDPRに違反した場合の制裁金には、次の2通りのパターンあがります。
・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか
・2,000万ユーロ、または、企業の場合には全会計年度の全世界年間売上高の4%のいずれか。
この基準の適用には、定められている義務違反の類型によって異なります。
いずれにおいても、経営を揺るがしかねない巨額の制裁金になる可能性があります。
ECにおいて、どのような対処が必要か
個人データの適法な処理要件として6つの原則があります。
①データ主体が 1 つ以上の特定の目的のために自己の個人データの処理に同意を与えた場合
②データ主体が当事者となっている契約の履行のために処理が必要な場合、または契約の締結
前のデータ主体の求めに応じて手続きを履践するために処理が必要な場合
③管理者が従うべき法的義務を遵守するために処理が必要な場合
④データ主体、または他の自然人の重大な利益を保護するために処理が必要な場合
⑤公共の利益、または管理者に与えられた公的権限の行使のために行われる業務の遂行におい
て処理が必要な場合
⑥管理者または第三者によって追求される正当な利益のために処理が必要な場合。ただし、デ
ータ主体の、特に子どもがデータ主体である場合の個人データの保護を求める基本的権利お
よび自由が、当該利益に優先する場合を除く
特に実務においては、①の同意を与えた場合が重要であり、データ主体となる本人の
明確な行為によって自己に関わる個人データの合意を取得する必要があります。
ECサイトにおいては、GDPRポリシーを明確に提示し、個人情報として会員登録だけではなく、cookieの取得についての合意また個人の意思によりいつでも合意を取り消せることも必要となります。
まとめ
EU圏向けの越境ECを行う場合に、GDPRへの対応は必須となります。そのためには、ポリシーの整備だけなく、組織・体制面、システム面など様々な方面での対応が必要です。
対策のためにはEC担当だけではなく、全社的な部門横断プロジェクトとして対策をする必要があるでしょう。GDPRはEU圏に対してですが、アメリカにおいても包括的な個人情報保護法の立法が進んでおり今後グローバルでビジネスを展開する上においては、必要な取り組みとなります。今一度、社内の体制やデータ管理について見直しをしてみては、いかがでしょうか。
参考文献
JETRO 「EU 一般データ保護規則(GDPR)について」
