EU圏のプロモーション、カスタマーサポートに注意。改めて整理するGDPRまとめ

  • 縺薙・繧ィ繝ウ繝医Μ繝シ繧偵・縺ヲ縺ェ繝悶ャ繧ッ繝槭・繧ッ縺ォ霑ス蜉
EU圏のプロモーション、カスタマーサポートに注意。改めて整理するGDPRまとめ

2018年5月25日にEU圏でGDPRが施行されました。EUにおける個人データ保護を規定したものですが、日本の「個人情報保護法」に比べ、その内容は非常に厳しいものです。SNSサイトへの書き込み情報、医療情報、コンピュータのIPアドレス等が含まれ、EU圏におけるSNSを活用したプロモーション、カスタマーサポートで取得する情報等にも影響を及ぼします。今回は、GDPRについて改めて学び直すとともに、企業はどのような対応を取る必要があるかを考えます。

改めてGDPRとは

GDPRとは「General Data Protection Regulation」の略で、日本語では「一般データ保護規則」と訳されます。
EU加盟28カ国にアイスランド、リヒテンシュタイン、ノルウェーを加えた欧州経済領域(EEA:European Economic Area)で、2018年5月25日から適用が開始された個人データ保護の管理規定のこと。個人データの処理と移転に関するルールを定めています。

個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則則(EU)2016/679(General Data Protection Regulation:一般データ保護規則)

出典元:個人情報保護委員会

いわば日本の「個人情報保護法」のEU版のようなものですが、対象となる個人情報の範囲にはSNSサイトへの書き込み情報、医療情報、コンピュータのIPアドレスなども含まれており、違反した場合は巨額の制裁金が課せられるなど、日本の法規制よりも厳しい内容となっています。

また、注目すべきは上記一般データ保護規則の条文「第3条 地理的適用範囲」です。
「本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。」とされており、EUに子会社や支店、営業所を持っている企業だけではなく、EU域内の企業から個人データの処理などを受託している日本企業の場合にも適用されるため、注意が必要です。

参照:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項 / EY Japan

日本企業初のGDPR抵触の可能性。進まない対策

PwC Globalが2018年1月に実施した欧州の「General Data Protection Regulation(GDPR:一般データ保護規則)」の対応状況に関する調査結果によれば、日本では13%が各対応策に着手、6%が終了していると回答していますが、まだまだ対応が進んでいないという印象です。

参照:日本と欧米で異なるGDPR対応の予算規模や優先事項–PwC調査 / ZDNet Japan

 GDPRについて動向を注視している法人もありますが、施行から1ヵ月経過後の時点では、ガイドラインが不明瞭なこともあり、具体的な対策を取れていない企業が多いようです。 そのような中で、プリンスホテルなど日本の複数のホテルチェーンが日本企業として初のGDPR違反に問われる可能性が報じられました。

参照:日本企業初の「GDPR」違反の可能性、プリンスホテルなど 2018年7月9日 / DIAMOND online

これは、日本のホテルが外国語Webサイトの運営を委託している「ファストブッキングジャパン株式会社」の親会社であるフランス法人「ファストブッキング社」のサーバーに対して不正アクセスがあり、欧州からの宿泊者の氏名や住所、クレジットカード情報などの個人情報が流出したものです。
これについてプリンスホテルは2018年6月26日に「個人情報の流出に関するお詫びとお知らせ」を掲載しました。

前記GDPRの条文第8章第83条「制裁金を科すための一般的要件」によれば、制裁金を科すか否か、制裁金の額を判断する場合には、損害の程度のほかに、その違反に対して管理者または処理者がどのような対策をとったかを重視します。 違反の通知の有無や、どの範囲で通知したのか、過去に関連する違反がなかったか、あった場合はそれに対する対応がされているかなど、その管理者または処理者の取り組みの姿勢が審査されます。
今回のケースでは、プリンスホテルは管理者としてGDPRを順守する対応を速やかに行っており、被害状況からも制裁金には発展しないとの見方もあるようです。

しかし今回のケースは、EU域内に拠点がある処理者にWebサイトの運営を委託している会社にとってはまさに参考にすべき重要ケースと言えるでしょう。
もし制裁金には発展しなかったとしても、それをもって安心材料とするのは早計です。同じような情報漏洩や個人情報の流出などが発生した場合に、管理者としてGDPRに則した適切な対策をとっていないと見なされれば、制裁金が発生する可能性もあります。

現状では具体的な対策について判断が難しいところではありますが、まずはもし違反があった場合の対応方針を検討しておく必要がありそうです。

まとめ

今後EU圏におけるサービスの提供、SNS等を活用したプロモーションの展開には、今まで以上に注意が必要になります。
アディッシュではEU圏の言語でのカスタマーサポートSNS運用代行を提供しています。EU圏でのサポートが必要な企業の方はお気軽にお問い合わせください。

なお、アメリカの13歳未満のプライバシーを守るために米国の連邦取引委員会が定めたCOPPA(Children’s Online Privacy Protection Act)については、以下の記事でまとめています。
アメリカ向けアプリ提供者(開発予定の方も)必読! 13歳未満ユーザーのプライバシーを守る米国の連邦取引委員会のCOPPAとは