GDPRとは?個人情報保護法との違いや比較、WordPressでの対応について解説
GDPR(EU一般データ保護規則)は、従来のEUデータ保護指令に置き換えられる、さらに個人情報の扱い方法が強化・規制された法令となります。日本の一般企業もEU諸国でビジネス展開する上では遵守が必要となりますし、特にWEBサイトを運営しているIT企業は、気づかず欧州の消費者を集客してしまってもGDPRに引っかかってしまう可能性もあります。
GDPRは日本の改正個人情報保護法とも違う点がありますし、より厳格にデータの管理が求められます。
そこで、今回はGDPRの概要と日本企業に求められる対応、及びWordPressでWEBサイトを構築している場合の、プラグインによる簡単な対応方法を解説します。
WordPressで
困っていませんか?
WordPressのあれこれならお任せください。
ファーストネットワードプレスサービスでは、
1998年の創業から培ってきた知見・経験を基に
WordPressのお悩みを解決いたします。
CONTENTS
EUのGDPRとは?分かりやすく説明
GDPR(General Data Protection Regulation)は、日本では「EU一般データ保護規則」として知られている、EU及びEEA 圏内における個人情報保護法となります。主にデータの取り扱い(管理・処理・移動)に対して要求されており、前身は1995年に施行された「EUデータ保護指令」が現代のニーズに合わせて強化されたものがGDPRとなります。
GDPRは2016年に採択され、およそ2年間の移行準備期間を経て2018年5月に正式に施行されました。
GDPRは日本でいう(改正)個人情報保護法となりますが、データ保護に関する規則が具体的かつ厳格に決められていて、日本の個人情報保護法を遵守していても、GDPRの項目を満たすことができない点に注意が必要です。
GDPRとEUデータ保護指令との違いと改正のポイント
GDPRの前身は1995年に施行されたEUデータ保護指令となります。GDPRもEUデータ保護指令も、「EU以外の第三国や社内で個人情報のデータを処理・移動させるときの規則」であることに変わりませんが、EUデータ保護指令はあくまでも「指令」であり、GDPRは「規則」となるため、違反した企業には多額の罰金が科せられます。
また、EUデータ保護指令はEUに向けた国内法の指令=指針でしかなかったため、実際のデータ保護に関しては国によって相違点があったのが兼ねてからの課題でした。そこで、EU・EEA圏内で統一されたデータ保護の規則として大きく改正したのが今回のGDPRとなります。EUデータ保護指令はGDPRの適用とともに廃止されています。
世界各国の個人情報保護法を簡単に紹介
EUのGDPRと同様に、日本を含む世界各国でも個人情報保護法は制定されています。
例えばアメリカでは2020年に「CCPA(カリフォルニア州消費者プライバシー法)」が制定。カリフォルニア州の消費者を対象に事業を営む企業を対象にした個人情報保護法となります。
アジア圏では韓国も2020年に「データ3法」が制定され、企業が得た消費者の個人情報の利用について厳格に規定され、一部においては日本の改正個人情報保護法よりも厳しくなっています。
日本や韓国の個人情報保護法の改正と強化はGDPRへの適用を含む内容でもあり、近い将来GDPRの規則内容が世界で一般化することを想定したものとなっています。
日本の個人情報保護法とEUのGDPRの違いと比較
日本も2022年4月の改正個人情報保護法により、従来よりも厳格に取り締まりされるようになったものの、GDPRと比較するといまだ緩い点が散見され、日本の企業が改正個人情報保護法に沿って個人情報を収集や利用をしていても、GDPRでは通用しなく罰則の対象となる可能性が多分にあります。
そこで、下記では日本の改正個人情報保護法とGDPRの相違点をご紹介します。
日本の個人情報保護法で対応できない大きなポイント
日本の改正個人情報保護法でもGDPRに対応できていない点は下記となります。
・個人データの定義
日本:本人の氏名・住所・連絡先などが分かるデータ
GDPR:cookieや履歴など直接個人を特定できないものも含まれる
・個人データの移転・移動
日本:本人の同意があれば国内・海外への移転が可能
GDPR:EU域外のデータの移転は原則不可。ただし後述する「十分性認定」の指定国は可能※日本は十分性認定指定国
・個人データの漏洩・紛失時の初期対応
日本:個人情報保護委員会と本人に速やかに報告
GDPR:72時間以内に監督機関へ報告
・影響評価(DPIA)
日本:特になし。個人情報を取り扱う企業に一任される
GDPR:事前に監督機関に相談する必要がある
GDPRの対策が必要な日本企業を紹介
では、GDPRの対策・対応が必要な企業とはどういった業態が考えられるのでしょうか。
まず、EUに子会社や支店・工場を持つ企業は必ず対象となります。さらにEUのユーザーに関係するビジネス展開をしている企業はもちろん、EEA 圏内の消費者に対してマーケティングや取引、貿易、個人情報収集を行っている企業も含まれます。また、GDPRは民間企業だけではなく、自治体や非営利団体にも適用されます。
GDPRの規制が日本企業に与える影響とは
GDPRは一見すると欧州を中心に事業を展開している中小や大手企業が対象とイメージしがちですが、EUに支社を設置していなくとも、日本で通販サイトのような消費者の個人情報を収集・蓄積するシステムを搭載したWEBサイトを運営して、ユーザーの中にEU・EEAが含まれる場合もGDPRの適用範囲内となってしまいます。
そのため、GDPRとは無関係だと思っていると、気づかないうちに自社もGDPRの規制に引っかかってしまい、多額の罰金を支払うことになる、という可能性もあるかもしれません。WEBサイトは世界に発信できるのが魅力でもありますが、知らずのうちに第三国の法を犯してしまうことも現実にあることは、どの企業も覚えておくといいでしょう。
GDPRに違反したときの罰則と事例
この度のGDPRの適用で世界の国や企業が慌ただしく動いている背景には、「多額の制裁金」が挙げられます。
GDPRに違反したときは、「1.2000万ユーロ以下、2.企業の総売上の4%、1~2のいずれか高い方の金額」が制裁金として科せられます。
すでに罰則の施行事例があり、Googleが62億、Facebookが293億円、Amazonが970億円と名だたる大手グローバル企業に対し相次いで罰金の支払いが科せられています。※支払いは未確定・上訴中含む。
ただし、上記制裁金はあくまでも上限であり、実際の制裁金の判断は当局に権利があり、悪質性を見極めて判断するとのことです。
ご覧のように金額が非常に高額なことから、罰金を科せられた企業の多くは上訴している背景もあります。
GDPRの具体的な内容とデータ保護の範囲
GDPRは個人情報データの「処理」と「移転」を規制した「規則」となります。EUの法令は「意見・決定・指令・規則」4つに区分されていて、規則の枠組みであるGDPRは、すべての加盟国に拘束・統一され、手続きや採択不要で国内法の一部となります。
そのため、日系企業はGDPRの具体的なデータ保護の内容と範囲を把握したのち、然るべき対応をすることが求められます。
GDPRが説明する個人データとは?
GDPRは日本の改正個人情報保護法と比べても、個人情報の範囲が非常に多岐にわたります。一般的な氏名・住所・連絡先、メールアドレス・金融情報はもちろん、「嗜好・考課データ・本人が識別できる画像データ・位置データ・IPアドレス・cookie」なども含まれ、日本では明確な既定のない項目となります。
特にIDや閲覧履歴などが保存されるcookie(クッキー)は、GDPRを皮切りに、世界でも個人情報の一部として認められる傾向にありますので、日本企業もいまのうちに対応しておくのがおすすめです。
GDPRの規約にある「処理」と「移転」
GDPRの規約では、個人データを「処理」と「移転」区別しています。処理は個人データの「収集・閲覧・削除・(リストなど)作成」に関する規約であり、移転は個人データを「EEA域内・域外へ移転する」際の規約となります。
ここでの「移転」とは主に1.EEA域内でデータを移転、2.EEAから日本へデータを移転、3.EEAから第三国へデータを移転、の3つが挙げられますが、それぞれGDPRの規約に具体的な方法と条件が記されていますので、自社で可能性のある取扱い方法を検討したのち、専門家に相談・指示を仰ぐのがいいでしょう。
日本もGDPRルールの水準クリア。「十分性認定」後の対応
上述したGDPRの「移転」に関しては、EUから「十分性認定」の指定国に限り、個人データを複雑な手続きなしでスムーズに移転することができます。日本も当初は十分性に認定されていなかったため、BCRやSCCの締結が必要でした。しかし、2019年に日本も十分性認定に指定されたため、BCRとSCC締結なしで個人データを移転できるようになりました。
しかし、上記締結は不要とはなったものの、GDPRのその他条件項目は満たす必要があるので、個人データの移転の際は必ず要項を遵守するようにしてください。
世界で活躍する日本企業に推奨されるGDPR対策
EU/EEA市場に参入している、あるいは今後進出予定のある日系企業は、GDPRの対策として何をするべきでしょうか。
まずは、社内で個人データを取り扱う専門の部署を立ち上げ、プロジェクトを発足。EU一般データ保護規則は複数の協会で仮日本語訳が公開されているので、まずはそちらを参考にするのがいいでしょう。
また、DPOの設置、およびGDPRの対応と適用までの具体的なスケジュールも作成しましょう。
GDPRの対策は想像以上に大きなプロジェクトとなる可能性があります。そのため、後述するDPOの責任者は、会社の代表取締役社長を含めた役員陣に直接報告できる人間を職務に当たらせるべきとなります。
>>個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(2016年)
プライバシーポリシーとDPOの設置
DPOは「データ保護責任者」として、GDPRの規則を深く理解して準拠することができる人物を選任します。大手企業であれば法務部やセキュリティ対策部のような部署があるものですが、中小企業の場合はそもそも個人情報を専門に扱う部署がないところが多いため、その場合は新たに専門部署を設立することになります。
DPO(データ保護責任者)は主に下記のような役割・権利を持つものとなります。
・個人データ保護と取扱いに関わるスタッフの指導・教育
・コンプライアンスの徹底と潜在的リスクの予見
・あらゆる個人情報の「利用・削除・共有・保護」の整備
・監督当局との話し合いや相談・対応の窓口業務
EU代理人とは?対策方法
GDPRの規則によると、監督当局と直接話し合いをするためのEU代理人を設立する必要があります。仮に日本企業がEU圏に支社を持っているならば、そこに勤務する従業員やDPOを代理人として権利を持たせることができます。
しかし、EUに自社がない場合は、EU加盟国のいずれかに居住する代理人を探す必要があります。
昨今はGDPRの代理人需要が非常に増えているため、複数の日系企業や日本語対応の外国現地企業が代理人の請負業務をしています。契約にあたっては月額もしくは年額で費用がかかりますが、GDPRの専門知識に長けているため、自社で人材を採用・育成するよりもトラブルは少ないことでしょう。
GDPRで特筆すべき項目の1つに、「IPアドレスやcookieも個人データに含まれる」点が挙げられます。cookieに関しては改正個人情報保護法においても新たにできた項目の「個人関連情報」に該当するか否かで評価が分かれています。例えばMAマーケティングのcookieは駄目だが、広告ターゲティングのcookieは大丈夫、といったように、cookieの使用方法によって解釈が分かれることがしばしばあります。
しかし、GDPRではcookieは個人情報の一部としてみなされるため、cookieの同意告知や使用・移転の際は規則に沿った対応をしなければなりません。
また、WEBサイトで事業を行っている場合は、プライバシーポリシーの作成や改定を行うとともに、新たにcookieに関するポリシーも作成・公開するといいでしょう。
同意の「取得」と「条件」に対応する
個人データをWEBサイト上で収集する場合は、ユーザーがチェックボックスにチェックを入れたり、同意書への署名に同意することによって「取得」することができます。
一方で企業側は個人データを扱う事業者の身元を明記しなければならないとともに、選択の自由をユーザーに提供しなければならなく、これが「条件」にあたります。例えばcookieに同意しなければアカウントに登録できなかったり、サービスを利用できないようなシステムは禁止となります。
GDPRをWordPressのプラグインで対策する方法
近年は中小大手関わらず大規模サイトであってもWordPressでWEBサイトを制作するケースが増えてきました。WordPressはプラグインを導入することによって複雑なシステムの導入が可能となりますし、ほとんどのWEB制作業者が専門知識を有しているため、外注も容易にできます。
そこで、下記ではWordPressのシステムやプラグインを使ったGDPRの対策方法をご紹介します。
ユーザーにcookieの承認・許可・同意を求める場合は、アナウンスバーやポップアップを表示させるのが一般的です。cookieポリシーへのリンクも不可欠なので、プラグインの導入前に作っておいてください。
GDPR向けに開発されたプラグインとしては「Cookie Notice & Compliance for GDPR / CCPA」が最も知名度が高いです。WEBの知識がない人でも簡単に操作できますし、日本語化されているのも嬉しい点です。他にも簡単にcookieの同意ボタンを設置できるプラグインはありますので、自分が使いやすいものを選ぶといいでしょう。
WordPressの管理画面からプライバシーポリシーを作成
プライバシーポリシーは固定画面から作成するのもいいですが、GDPRの規則が決まってからすぐにWordPressが対応するためにプライバシーポリシーの作成画面を設けています。
WordPressの管理画面(ダッシュボード)の「設定」項目に「プライバシー」がありますので、そちらをクリックすることで、プライバシーポリシーの作成画面に移ります。ポリシーはすでにフォーマットがあるので、文言を変えるだけで使用できます。下手に改変するよりはフォーマットを利用するのがおすすめです。
その他GDPR対応のおすすめWordPressプラグイン
他にもGDPR対応のWordPressのプラグインはたくさんありますが、欧州向けのプラグインが多いため、日本語対応していないものがほとんどとなります。またプラグインによっては過去に脆弱性が指摘されているものもあるので、導入する際は必ずバックアップをとり、テストサイトで挙動を確認してから本サイトに反映させてください。
・Cookie Notice & Compliance for GDPR / CCPA
ポリシーページへのリンクがついている同意のチェックボックスを作成できるプラグイン。WooCommerceにも使えます。
ダウンロードページ:https://ja.wordpress.org/plugins/cookie-notice/
・Ultimate GDPR
cookieの同意のポップアップ画面を作成できるプラグイン。Contact Form 7やBuddyPress、Mailchimpにも対応しています。
公式HP:https://www.createit.com/gdpr/
現在導入済みのプラグインのGDPR対策の有無を確認
まずは現在WordPressに導入しているプラグインがGDPRに対応できているかを確認してください。その上で不適用だと判断した場合は、可能な限りWEB制作会社など、WEBの専門家を交えて新規プラグインの導入を計画するのが確実な対応方法となります。
まとめ:GDPR規則は世界共通になる可能性も。企業担当者はしっかり対応を
GDPRはEU/EEAの個人情報保護規則となるので、日系企業の多くは対応できていない様子が見受けられます。もし、EU諸国のユーザーが自社に存在する場合は、GDPRの規則に抵触している可能性があるので早急に対応が必要です。
また、いまのところGDPRは関係ないという企業も、今後はGDPRの規則が世界共通になってくる可能性もあるため、いまのうちから対策を練っておくことは潜在的なリスクヘッジにも繋がることでしょう。