デジタル化が進んだ現代では、ユーザーの個人データは非常に価値が高いものとなっています。
巨大IT企業がユーザーデータを活用して、広告事業を展開し莫大な利益を得ているのはご存知の通りです。今後通信の高速化が進み、あらゆるモノやコトがネットワークでつながりデータ化されれば、今まで以上にデータは価値ある「宝」となります。一方で個人データを扱う企業にとって漏洩や不正利用があった場合には、信頼関係の損失や法的な問題を引き起こすリスクがあります。

そうした未来を予測して整備されたのが「GDPR」です。本記事ではホームページ運営者はもとより、あらゆるビジネスパーソンが知っておくべきGDPRの知識と具体的な対応方法についてご紹介します。

GDPRとは？概要と目的

GDPR（General Data Protection Regulation）は、個人データの保護とプライバシーを保護するために欧州連合（EU）が制定した規則です。2018年5月25日に施行され、EU加盟国全体で適用されています。欧州は人権意識が高い地域です。企業が個人データを活用し、それをユーザー自身がコントロールできない状況を問題視する考えがGRPRにつながったとされています。

GDPRは法令であり、違反したときに多額の制裁金が課せられることが特徴です。
制裁金の額は、違反の重大度や影響範囲、企業の収益に対する比例、違反行為の継続期間などの要素に基づいて決定されます。軽微な違反では1000万ユーロ、または前年売上高の2％。権利侵害などの違反では2000万ユーロ、または前年売上高の4％が科せられる可能性があります。現在のレートだと2000万ユーロは30億円以上もの大きな額であり、個人データを扱う責任の重さを実感するのではないでしょうか。

GDPRでの「個人データ」とは何か

GDPRにおける個人データとは、個人を特定できる情報または特定の個人に関連する情報を指します。
氏名、生年月日、住所、電話番号、メールアドレスといった個人の識別情報はもちろんのこと、銀行口座番号、クレジットカード情報等の経済情報、身長・体重等の身体的特徴、人種・民族、宗教、政治的意見、性的指向など個人の特性や属性に関する情報も個人データです。
Web上ではIPアドレス、Cookie情報、オンラインアカウント情報、ブラウジング履歴、検索履歴等が該当します。GDPRでは保護されるデータの範囲が非常に広いことがわかります。

これらの個人データは個人を識別したり、個人に関連付けられたりする可能性があるため、適切な保護が求められます。GDPRではこのような個人データの収集、保存、編集、開示に対して厳格な規制を設けています。

GDPRで保護される個人の権利とは？

GDPRによって以下のような権利が個人に与えられます。

• 個人が自身のデータにアクセスする権利
• 個人が自身のデータの修正または更新、削除を求める権利
• 個人が自身のデータを持ち運ぶ権利（受け取った個人データを他のサービスに提供する権利）
• 個人の判断に基づいて、自身のデータ取得を拒否する権利

GDPRはEU域内だけの話だと捉えがちですが、EU居住者の個人データを取り扱うならば日本企業も対応しなければなりません。具体的にはEU域内に支社や子会社を持つ日本企業、EU域内のユーザーに商品やサービスを提供する企業、EU域内のユーザーの個人データを取得する企業に適用されます。日本人であっても、EU域内に住んでいるならば「EU居住者」とみなされるのでご注意ください。

自社のホームページはGDPR適用対象なのかをどう判断する？

前段を踏まえると、例え日本語のみのホームページで国内でのサービスや商品提供を前提にしている企業だとしても、EUからのアクセスがあるならば対象となる可能性は十分にあります。
具体的には以下のような場面が考えられます。

• 問い合わせフォーム
• チャットボット
• 会員登録画面
• 会員ログイン画面
• アンケートフォーム

グローバル化が進む現代においては、個人を対象にした商品やサービスを提供する会社としてホームページを開設しているならば、対応が必要だと考えるべきでしょう。

GDPRのホームページの対応策

では具体的に、どのようなステップを踏んでホームページでGDPRに対応すればよいのでしょうか。

１．データマップの作成による現状把握
組織内でどのような個人データが収集・処理されているかを明確に把握します。データの種類、収集方法、処理目的、共有先などを文書化し、データフローを可視化します。

２．GDPRに準拠したプライバシーポリシーを用意する。またすでにある場合は見直しを行う
プライバリーポリシーには、収集する個人データの種類と利用目的を明記します。その他にも、データの処理方法、保管期間、第三者に共有する場合はその目的や保管期間の明示も必要です。GDPRではCookieも個人データに含まれるため、その使用目的や種類、管理方法、同意の仕方も記載します。個人データの訂正・削除要求の受付窓口も記載する必要があります。

３．同意の取得と管理
個人データの収集には明確な同意を得る必要があります。チェックボックスやオプトイン（ユーザーの同意）機能を使用し、ユーザーが自発的に同意できるようにします。
Cookieの使用に関してはバナーやポップアップを表示し、同意を得る必要があります。日本国内の個人情報保護法ではCookieは適用対象とされていないため、GDPRへの準拠として必要な対応になります。

４．データセキュリティの強化
意図せぬ個人データの流出や不正利用のリスクを軽減するために、SSL証明書の導入やデータ暗号化、アクセス制御の実施などを行います。定期的なセキュリティ監査を行うプロセスを設計します。

またホームページ上の対策ではありませんが、社内でもGDPRへの認識を広め、個人データの取り扱いについては十分に注意するよう周知・徹底を行うことも重要です。
データ処理を委託するサプライヤーとの契約には、GDPRの要件を組み込みます。
ユーザーからの問い合わせや個人データ修正、削除のリクエストがあった場合は迅速かつ適切に対応しましょう。

まとめ

GDPR（General Data Protection Regulation）は、個人データの保護に関する規則であり、個人のプライバシー権を尊重するために制定されました。
個人の権利とプライバシーの尊重が求められる中で、GDPRへの対応は非常に重要な課題であり、日本企業においても対応は必要不可欠です。
GDPRに準拠することによって個人データの保護に真摯に取り組んでいる企業であると評価され、ユーザーからの信頼を醸成するベースとなります。信頼関係は一朝一夕につくれるものではありませんが、GDPRへ準拠することは良好な顧客関係の構築につながり、ビジネスにおける競争力を高めることに大きく影響します。
GDPRに関する知見と対応への経験が豊富な専門家のアドバイスを得ながら、GDPRへの対応を進めていきましょう。