2022年4月「改正個人情報保護法」が適応され、日本国内におけるプライバシーの情報がより細かく制限されることとなりました。一方欧州に目を向けると、「GDPR」がすでに数年前に施行されています。

本記事では、EUの「GDPR」と「改正個人情報保護法」を比較し、企業担当者様がどのように対応策を検討すべきかを分かりやすく解説します。

1. GDPRと個人情報保護法との違いは？
2. GDPRへの対応に求められるものを8つのポイントにまとめる

1. 所有する個人データの管理
2. 個人情報の漏えい等のインシデントへの対応フローの構築
3. プライバシーポリシーの改訂
4. 本人が個人情報に関係する権利を行使できる機能整備(CMPツールの導入)
5. データ保護オフィサーの設置
6. 外部の委託先や協力会社の選定
7. 個人情報の取得同意のルール構築
8. データ保護影響評価の実施

GDPRと個人情報保護法との違いは？

「個人情報保護法」と「GDPR」はどちらも個人情報保護の取り組みです。GDPRはEUで定められたものであり、日本の個人情報保護法よりも厳しいルールが定められています。

EUのGDPRとは？

GDPRは「General Data Protection Regulation」の略でEU各国に適用される法令であり、一般データ保護規則のことです。個人情報保護の新しい枠組みとして定められました。主には個人データの処理・移転に関する規定になっており、EU圏内外への個人データの送信を厳しく規制し、個人データの本人への権利を保障しています。特にGDPRの特徴としては罰金の額が多額です。違反した場合には数十億円規模の罰金になることもあります。

GDPRでは、個人を特定できる情報（氏名や住所等）以外にも、IPアドレスやCookie情報等の個人を特定する情報外として扱われていた識別子と呼ばれるものも含まれます。当然、これらの識別子の情報を利用する際にも、本人からの同意を得る必要があります。

つまり、GDPRでは、EU居住者に対し権利を与え、EU圏に拠点を持つ組織に対して適応されるルールになっています。EU域内で取得した住所氏名、メールアドレス以外に、電話番号やIPアドレス、サードパーティCookieなども同意が必要だとされ、EU域外に持ち出すことは原則的に禁止されます。

GDPRでは、Webサイトで個人情報の取得・使用を行う場合に、CMP(同意管理)ツールを使用し、カテゴリごとユーザーが個人情報の提供を選択できるよう制御する必要があります。
※越境データ移転は、州委員会が十分なレベルの個人データ保護を保障している旨を決定している国（日本含む）は、以下の4点を満たせば可能となっています。

1. 十分な個人データ保護の保障（欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定）
2. BCR（Binding Corporate Rules：拘束的企業準則）の締結（企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認）
3. SCC（Standard Contractual Clauses：標準契約条項）の締結（データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結）
4. 明確な本人同意

日本の個人情報保護法とは？

日本の個人情報保護法は、個人を特定できる情報のみを対象としています。個人を特定できる情報とは、氏名や住所を始め、これらに紐づく情報のことです。企業はプライバシーポリシーを明示することで個人情報利用の許諾を得ることができます。違反した場合は、30万円以下の罰金が課せられます。

個人情報保護法では、日本における企業や個人事業主など、個人情報取扱業者に対して定められた内容になります。氏名や住所といったいわゆる個人情報を基本に、2022年の個人情報保護法改正により、サードパーティCookieなども個人データと定義されますが、電話番号・IPアドレスは個人情報と位置付けていません。

2022年4月の個人情報保護法改正により、サードパーティCookieを使用したマーケティング施策を行う場合には、個人情報提供・使用の同意を得る必要があります。

「改正個人情報保護法」についてもっと詳しく知りたい方はこちら

GDPRへの対応に求められるものを8つのポイントにまとめる

日本の企業がGDPRへの対応をするケースは、EUに支社や拠点を持つ場合や商品をEUに提供している等、何らかの形でEUとの関わりがある企業です。

日本の個人情報保護法よりも厳しく規定されているため、日本で認定を受けていた場合でも、EUでのGDPRに対しては不十分な可能性があるので、GDPRに対応するための措置を講じる必要があります。

対応①所有する個人データの管理

企業が所有している個人データを管理するためには、その保有方法や利用用途について把握することが第一に必要になります。情報の把握ができていないと、バラバラになっている個人データを必要に応じて取り出すのが困難ですし、個人データを収集する際にも重複してしまうといった問題が発生してしまいます。これは、業務負担が増える要因でもあり、適正に管理できているとは言えません。

企業が個人情報を取得・利用する目的を達成するために必要な情報が何であるか、定期的な棚卸や検討をすることが重要です。

また、特定の利用期間を経過した個人情報は、消去をしなければならない場合もあるので、その準備をすることも忘れてはなりません。

対応②個人情報の漏えい等のインシデントへの対応フローの構築

インシデントは、好ましくない出来事のことで、個人情報の漏えい等が発生した場合の対処方法を構築しておく必要があります。いつ発生するかわからないものなので、不足の事態に即対応できるように方法や手順を構築しておきましょう。

個人情報の漏えいや紛失等のトラブルが発生した際は、速やかに（72時間以内）に監督機関へ報告し、本人にも通知をする必要があります。予め、外部委託先や業務提携をしている企業と共にトラブル発生時の対応方法と通知体制等を構築しておくことが重要です。

対応③プライバシーポリシーの改訂

GDPRに対応するためには、それに合わせたプライバシーポリシーに改訂することが望まれます。盛り込む内容で最初に必要なのは、個人情報の利用目的・第三者への提供があるかないか、個人情報を保持する期間等の記載です。これらを改訂するためには、所有個人データの把握と管理をしていることが前提です。

その上で、プライバシーポリシーの同意を求めるには、個人情報に関する内容であることを明確に区別し、ユーザーが理解しやすくしなければなりません。また、確認のために容易にアクセスができて、こちらも理解しやすい文言で記載する必要があります。

ユーザーがWebサイトへアクセスする際には、CMP(同意管理)ツールを使用し、ポップアップ等でCookie情報の利用に同意を求めたり、一度同意したものを撤回できる等の機能整備も必要です。

対応④本人が個人情報に関係する権利を行使できる機能整備(CMPツールの導入)

GDPRでは、本人の個人情報に関して様々な権利を認めています。企業側はユーザーがこれらの行使をすることができるよう、容易なものにする必要があります。

1. 本人に関する個人情報の「利用目的」、「保有期間」等へアクセスする権利。
2. 本人の個人情報を訂正する権利。
3. 本人の個人情報に対して消去する権利。
4. 企業の個人情報の取り扱いへ制限をかける権利。
5. データポータビリティ（企業がユーザーから収集・保有した様々な個人データを再利用＝持ち運びができること）の権利。
6. プロファイリング（過去の利用履歴や個人の情報）を含む個人情報について、取り扱い方法等について異議申し立てを行える権利。

個人情報の本人は、上記の様な権利が与えられているため、企業が個人情報を取得する際は、明確な説明と同意を得た上で個人情報の収集にあたる必要があります。

CMP(同意管理)ツールについてもっと詳しく知りたい方はこちら

対応⑤データ保護オフィサーの設置

データ保護オフィサー（DPO：Data Protection Officer）とは、その名の通りデータの保護に対する責任者のことです。データ保護オフィサーを選任し設置するのは以下のような特定の条件がある場合です。

・個人情報の取り扱いを行うのが「公的機関や団体」である場合。※裁判所の行為は対象外。
・管理者等の個人情報取扱作業の「中心的業務」の目的や適用範囲が「大規模」にデータ主体の定期的・系統的な「監視」を必要とする場合。
※「中心的業務」とは、付随的な業務ではなく、直接的に提供するサービス等に関わる業務のことです。

つまり、GDPRが適用となる個人情報を取り扱う企業や公的機関・団体はデータ保護オフィサーを選任し設置する義務があります。

対応⑥外部の委託先や協力会社の選定

多くの企業は、自社の業務に関わる全てを自社のみで完了させることはあまりないのではないでしょうか。生産性向上や迅速にサービスを展開する等、多様なニーズに合わせて業務を外部へ委託する企業は少なくありません。委託先企業で情報の漏えい等が発生すると、委託元企業の信頼も失うことになってしまいます。そのため、委託先の企業での情報セキュリティ対策に問題はないか把握する必要があります。

対応⑦個人情報の取得同意のルール構築

個人情報を取得する際には、提供者が安心できるためのルールを構築する必要があります。そのためには以下４つの要素が有効です。

1. 自由性がある：同意するしないに関わらず本人に不利を与えない。強制しない。契約時等で交渉不可ではない。これらを満たさない同意は無効となります。
2. 特定できる：個人情報の利用目的や提供先が特定できること。別目的に利用する場合は、新たな同意が必要です。
3. 説明がある：GDPRでは同意をするには、説明を受けた上でしなければならないことが要件になっています。同意取得前に本人に情報提供をすることが必要です。
4. 不明瞭ではない：本人が自ら同意できる仕組みにする。承諾しないことに行動を取らせてはならない。※最初から承諾することについてのチェックボックスに「レ点」がついている等はNG。

対応⑧データ保護影響評価の実施

データ保護影響評価（DPIA＝Data Protection Impact Assessment）とは、個人データの利用に置いて与えるリスクが高い可能性がある場合に、事前に対象の個人データの保護に対する影響を評価することです。データ保護影響評価は、①現状の把握、②影響の評価、③リスク低減策の策定、④施策の実行という流れで行います。