個人情報保護法私が、現在、関わっている、ベトナムでのオフショア案件では、グローバルECサイトの開発を進めています。
そのECを展開する圏域は、ヨーロッパも含まれています。
ヨーロッパでECを展開するには、EUが定めているGDPR(EU一般データ保護規則)という個人情報保護に関する規則を遵守しなければなりません。
GDPRについて、業務を通じて調べた内容を、備忘録的に、書いておこうと思います。
目次
GDPRとは
GDPRとは、General Data Protection Regulationの略称で、日本語訳では、EU一般データ保護規則と言います。
欧州議会・欧州理事会および欧州委員会が欧州連合(EU)内の全ての個人のためにデータ保護を強化し統合することを意図している規則であり、欧州連合域外への個人情報の輸出も対象としています。
本規則は2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日より適用されました。
EUで、ECサイトを展開する場合、日本企業であっても、GDPRの適用対象となります。
GDPRの対象となる個人情報とは
・氏名
・識別番号
・住所、所在地
・メールアドレス
・IPアドレス、Cookieなどオンライン上での識別子
・クレジットカードの情報
・パスポートの情報
・身体的、生理学的、遺伝子的、精神的、経済的、文化的など、社会的固有性に関する情報
注目すべきは、GDPRでは、Cookieも個人情報の対象となります。
日本向けに展開されているECでは、さほど気にもとめませんが、ヨーロッパで展開されているECを開いてみると、Cookieの取り扱いに関する同意の説明文が、すぐに目に止まります。
【参考】
・ドイツのファッションEC(Zalando)
・スペインのドラッグストアEC(Promofarma)
・イギリスのEC(tesco)
いずれも、トップページを開くと、Cookieの取得や個人情報に関する記述があります。
オプトインとオプトアウト
GDPRによると、個人情報の取得には、ユーザの事前同意が必須とのことです。
したがって、下記のような対応が必要になります。
・初めてサイトを訪問した時に、トップページに、個人情報の取扱に関する通知を表示する。(プライバシーポリシーへの誘導)
・個人データ取得の拒否(オプトアウト)を可能としなければならない
→ 対象Cookieや個人情報の削除
・個人データ取得の同意(オプトイン)を可能としなければならない
→ オプトインがあるまで、対象Cookieを含めて個人情報の取得を行わない
オプトイン方式とは、ユーザーが、事前に個人情報の取扱主体である企業に対して、メール送信等の情報のやり取りや自身の個人情報の利用に関して、同意し、許可をすることを指します。ユーザが許可することによって初めて、企業は、ユーザに対して、メールを送信するなどの個人情報の利用が可能になります。
一方で、オプトアウト方式では、ユーザーの事前確認なく、企業が個人情報を利用し、ユーザーに対して、広告やメールを配信できます。ユーザーが、それらを拒否することで、個人情報の利用が停止されます。
要するに、個人情報の利用に関して、
・オプトイン方式は、事前にユーザーの許可を得てから利用を開始する
・オプトアウト方式は、ユーザーの許可を得ずとも利用を開始できるが、ユーザーの要望に応じて、いつでも停止することができる
という違いがあります。
オプトアウト方式といえば、企業側から一方的に送りつけてくるメルマガを想像しますね。
GDPRは、オプトイン方式を取っています。
プライバシーポリシーやデータの暗号化
これに加えて、ヨーロッパ圏で、ECを展開するにあたって、GDPRを基準とした「プライバシーポリシー」の策定・運用やデータの暗号化対策も行うべきでしょう。
GDPRの第32条を確認すると、個人データの仮名化又は暗号化の対策を促す文言があります。
暗号化の対象は、「個人データ」「バックアップ(データダンプ)」「ログ・ファイル」まで想定されます。
GDPRの罰則
GDPRでは、違反者に対して、制裁金が課された可能性があります。
GDPRの第83条に、制裁金に関する記述があります。
昨今、GDPR違反とのことで、数百億円にも及ぶ莫大な制裁金が課された企業について、センセーショナルに、ニュースで報じられていたことも、記憶に新しいです。
日本の個人情報の取扱とフリーランスの現状
厳しい罰則が含まれているGDPRに比べて、日本の個人情報に関する法律は、非常に貧弱であると感じております。
現状、派遣会社やSES企業に預けた個人情報が、知らぬ間に、第三者的な会社に、受け渡されていることも少なくありません。
突然、知らない企業から、身に覚えの無い連絡が入る機会も、日常的です。
派遣会社やSES企業に対して、個人情報の削除依頼を出したり、第三者への開示を止めるように主張して、個人情報を削除してもらっても、依然として連絡が来たりします。
それを指摘しても、企業は悪びれる様子もありません。
私の経験談では、
以前、SES企業の営業が、自宅にやってきたことがありました。
もちろん、全く、面識もありません。
この企業と私の住んでいる自宅が近かったらしく、ご挨拶にお伺いしたとのこと。
この営業、私の名前や職業等の個人情報を把握されていたので、誰から聞いたのか確認をすると、
「個人情報なので、それは言うことは出来ません」
と言われる始末です。
それでは、私の個人情報は、どうなんだという話ですが。。
「プライバシーポリシー」を掲げている企業であっても、変わりはありません。
日本の個人情報に関する規則は、現状、GDPRのような厳しい罰則が無いので、軽く考えている企業が非常に多い印象です。
日本政府の個人情報保護委員会は、企業のCookie利用を規制する方向で検討していることを明らかにしました。(2019年12月現在)
背景には、学生の内定辞退率予測データを顧客企業に販売していた”リクナビ問題”があります。
それには、Cookieと他の情報を結合して個人を特定する行為を問題視する背景があるのです。
現在の企業の個人情報の取扱は、やりたい放題な感じがしています。
日本においても、個人情報保護に対する規制の強化の流れが起きている、
これは、非常に良い潮流だと思います。
