日本企業も他人事ではない！？GDPRの影響とその対策

個人データ保護を規定するEUの法令「GDPR」。これまでに著名なグローバル企業が違反によって高額な制裁金を課されたニュースを目にした人も少なくないでしょう。今回はGDPRの基礎と最新動向、日本企業への影響とその対応などについて解説します。

厳しい罰則を備えた個人データ保護の法令

「GDPR」（General Data Protection Regulation）とは、EU（欧州連合）における個人データ保護を規定する法令です。個人データの保護は基本的人権と捉え、その確保を目的として、2018年5月25日に施行されました。EU域内（EU加盟国およびアイスランド、ノルウェー、リヒテンシュタイン）の各国に適用され、日本語では「EU一般データ保護規則」と呼ばれています。

EUではもともと、「データ保護指令」が1995年から施行されていましたが、GDPRはより厳格なものになります。定められている規制事項の主なものは以下の通りです。

• 個人データの取得には本人の明確な同意取得が必要。本人が個人データの削除や利用制限を管理者に要求できる
• 個人データはEU域外への移転は原則禁止。一定以上の基準の個人データ保護が実施済みと認定された国なら移転可能
• 情報漏えいなどの違反行為があれば、72時間以内に規制当局へ通知しなければならない

これらはあくまでも一部であり、内容を要約したものです。詳細な内容は、条文「GDPR（General Data Protection Regulation：一般データ保護規則）」をご確認ください。

GDPRの特徴の1つが、厳しい罰則です。行政罰規定があり、違反行為があれば制裁金が課されます。その額は最大で年間売上の4％以下、もしくは2000万ユーロ以下のいずれか高い方という高額にのぼります。

象徴的な例としては、2018年にイギリスの航空大手British Airwaysが、顧客データ約50万件を漏えいさせたことで、約1億8千万ポンド（約245億円）の制裁金が課されました（2020年に約27億円に減額）。また、Googleは2019年にフランスにて、同意取得の問題などから、5千万ユーロ（約62億円）もの制裁金が課されました。適用の厳しさと制裁金の額は年々増える傾向にあります。

日本企業もEUの顧客相手なら対象に

GDPRは日本の企業も場合によっては対象になります。所在地にかかわらず、EU域内に在住する個人のデータを扱う企業・組織すべてが対象になると定められています。当然、日本企業がEU域内の拠点にて、同域内の顧客から得た個人データもすべて対象になります。

注意が必要なのが、インターネットを利用して顧客の個人データを取得するケースです。例えば、お問い合わせやアンケートのWebフォームによって、EU域内の顧客の個人データを取得する場合、物理的にWebサーバーやデータベースが日本国内（またはEU域外）に設置してあってもGDPRの対象になります。顧客がフォームに直接入力した情報のみならず、WebブラウザのCookieで取得した情報も対象に含まれるので、さらに注意が必要です。

Webフォームや各種サービスのシステムの構築から運用管理までをすべて国内で行っていると、ついついGDPRは無関係と思い込みがちですが、EU域内の顧客が利用する場合はGDPRの対象になります。もし情報漏えいを起こし、かつ72時間以内に規制当局へ通知しないなどの違反を犯してしまうと、高額な制裁金を科されるリスクをはらんでいるのです。

このようなリスクに対処するため、日本の企業にもGDPR対応が求められます。自社のWebサイトやサービスでEU域内の顧客の個人データを取得する可能性があるのか、一度チェックしてリスクを可視化します。そして、該当するものがあれば、そのシステムやプライバシーポリシーをはじめ、必要な箇所をGDPRに対応させていきます。

GDPR対応を自社だけで実施するのが難しければ、ベンダーやコンサルティング会社の助けを借りるのが現実的でしょう。また、すでにGDPR対応済みのサービスを利用するのも有効です。例えば、ドキュサインの製品はGDPRに対応しており、さらに米国カリフォルニア州のCCPA（消費者プライバシー法）など、グローバルなプライバシー規制を順守しています。ドキュサインの電子署名を契約書や申込書で利用することで、GDPRに対応した形で顧客情報を取得することができます。これにより、自力で対応する労力とコストが一切不要になり、高額な制裁金など違反のリスクを確実に回避することができます。そういった意味で、これからのサービス選びの条件は機能や品質、コストなどに加え、GDPRへの対応もポイントとなるでしょう。

おすすめ記事：

• 2022年施行予定の改正個人情報保護法。企業が取るべき対応とは？
• EUにおける電子署名とは？知っておきたいeIDAS（イーアイダス）規則の基本
• 2023年1月施行のCPRA（カリフォルニア州プライバシー権法）を徹底解説！

_{参考資料：}

• _{日本経済新聞 2020年10月17日 BAにGDPR制裁金27億円　顧客情報流出、コロナで減額}
• _{日本経済新聞 2019年1月23日 グーグル、GDPRで制裁金、情報収集に不備、日本企業もリスク}
• _{ZDNet Japan 2021年1月26日 GDPR制裁金、前年比で39％増--さらに高額化する可能性も}

_{免責事項：本サイトの情報は一般的な情報提供のみを目的としており、法的助言を提供することを意図したものではありません。法的な助言又は代理については、適切な資格を有する法律家にご相談ください。ごく短期間に法改正が行われる場合もあることから、弊社はこのサイトの全ての情報が最新のものである又は正確であることを保証することはできません。適用法の許容する範囲において、弊社又は弊社の代理人、役員、従業員若しくは関係会社のいずれも、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害又は結果的損害（代替商品若しくは代替サービスの調達、使用不能若しくは逸失利益又は事業の中断を含みます。）について、かかる損害が生じる可能性について通知を受けた場合であっても、本情報を使用したこと又は使用できなかったことにより生じる契約責任、厳格責任又は不法行為による責任のいずれの責任法理によっても、かかる損害を補償する義務を負いません。}