いよいよGDPRがスタート。万全に準備するために…
最近、GDPRが話題となっていますが、そもそもGDPRとは何でしょうか?誰に適用され、マーケットプレイスやプラットフォームにどのような影響を与えるのでしょうか?本日はこれらの質問に焦点を当てていきます。
GDPRとは?
一般データ保護規制(GDPR)は、2018年5月25日に発効する欧州の規制であり、1995年に発令されたデータ保護指令、および欧州連合(EU)の国家データ保護法に変わるものです。
GDPRは、組織が、EUに拠点を置く居住者の個人データを収集、使用、または共有する方法に関して、EU全体で統一された基準を制定することを目的にしています。
GDPRが保護する情報とは?
GDPRは、個人データにおいて、通常の定義よりも広範な、以下を含むデータに適用されます。「識別された又は識別され得る自然人(データ主体)に関するあらゆる情報:識別することができる個人とは、特に氏名、識別番号、位置データ、特有の識別子、又は肉体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的アイデンティティに特定されるか、若性別の1つ又は2つ以上の要素を参照することによって、直接的又は間接的に識別することができる者をいう。」
したがって、この定義には、特定の状況において、IPアドレス、モバイルデバイスID、Eメールアドレス、クッキーおよび他のオンライン識別子も含まれるといえます。
GDPRの適用対象者は?
GDPRの適用は国境を越えたものであり、EU内で設立された組織が、その活動の過程で個人データ(EUおよび非EUデータ主体)を処理する場合が含まれます。これは、EU内に拠点を持たない非EU組織であっても、EU内に居住しているデータ主体に対して商品、サービスを提供し、インターネットを使用したプロファイリングなどで、データ主体の行動を監視しているだけでも適用されます。
「適用処理」の例としては、収集、記録、組織化、構造化、保管、適応または変更、復旧、参照、使用、伝達による開示、散布、利用可能にする方法、整列または結合、制限、削除または撤去等が挙げられます。
一般的に、非EU組織は、個人データが処理されるか、または行動が監視されるデータ主体が存在するEU加盟国に組織を設立し、一箇所に代表者を指定する必要があります。「設立」という言葉はさまざまな意味で解釈できるため、組織がEU内に設立されたとみなされるかどうかは、ケースバイケースで検討されるべきです。
重要な要素
GDPRには、以下のリストにあるような、組織が認識し、実施すべき重要な要素と義務が含まれています。
- データ処理を可能にする特定の法的根拠の定義
- 個人データを収集して処理するプロセスの特定と文書化
- データ処理担当者の任命
- データ管理者および/またはデータ処理者の組織における責任の定義
- データ侵害への対応と通知要件の策定
- データ主体の情報へのアクセス権と忘れられる権利の概要
- 個人データのEU域外への移転に対する対応
制裁
GDPRの要件に準拠していない組織は、2,000万ユーロ、またはその組織の前年度の全世界年間総売上高の4%のいずれかを上限とする、重大な行政上および経済上の制裁を受けるおそれがあります。
GDPRが及ぼす影響は?
マーケットプレイスやデジタルプラットフォームなどの商用ビジネスとして、国際的に商品やサービスを販売したり、個人データを処理する場合は、GDPRがどのように組織に適用されるかを知っておかなければなりません。組織によって収集、保存、処理される個人データには、セラー、顧客、ベンダー、さらにはWebサイトへの不特定訪問者のものが含まれる可能性があります。
GDPRは、組織の規模や収益に関係なく、さらにはEUに正式な拠点が有る無しにかかわらず適用されます。EU内のデータ主体を特定するために使用される情報を収集、保持、処理、またはアクセスする場合は、おそらくGDPRの対象となります。
まず、EUのデータ主体に「商品とサービス」を提供する基準を理解する必要があります。WebサイトはEU内でのアクセスが可能ですか?EUの言語と通貨を使用していますか?キャンペーンは直接EUに向けられたものですか?
たとえば、手作りのネクタイを販売する、シンガポールに拠点を置く組織を考えてみましょう。同社は、EU内に事務所も系列会社も設立していませんが、オンラインで商品を提供しています。EUの顧客を対象としたキャンペーンを実施しており、Webサイトでは翻訳されたページも提供しています。アカウントの登録と作成時には、登録者の名前とEメールアドレスを含む、個人データを収集します。GDPRはこの組織に適用されるでしょうか?答えは「イエス」です。
GDPRの新しい規制では、組織に対して、より多くの責任を与えています。処理しているデータが適正に保護されていることを確認するのは組織の責任です。場合によっては、GDPRはフレームワークまたはガイドラインだけを提供するため、組織は管理者または処理者の担当を判断したうえで、個人データが適切に保存および保護されていることを確認する必要があります。
自問すべき重要事項
GDPRの遵守に向けて準備が完了しているか確認するために、ご自身にいくつかの質問をしてみましょう:収集する個人データの種類は?種類の情報を追加で収集する予定はあるか?追加情報はどのように収集され、処理され、保存されるか?どのような種類の処理が行われるか?現在のポリシーで、更新および作成する必要があるか?情報の使用について、プライバシーポリシーを適切に規定しているか?データ処理責任者を任命する必要があるか?情報を収集するための法的根拠は何か?同意を得ているか?データ主体の権利を適切に遵守できるか?セキュリティ対策は十分か?GDPRを遵守でするためには、上記の項目を解決する必要があります。
2018年5月へのカウントダウンが進むにつれて、権利とデータ収集者の責任への認識がますます深まっていきます。
GDPRに向けてPayoneerがしていること
Payoneerでは、顧客、取引先、ベンダーなどの個人情報の収集、使用、共有に関して、高いレベルのセキュリティと透明性を確保しています。GDPRの準備を入念に進めており、ポリシーを更新し、データ主体のアクセス権やその他の権利に関する手続きを刷新し、GDPRに完全に準拠するためのさまざまな対策を講じています。
本稿は包括的で完璧な評論というよりは、むしろGDPRを理解する上で鍵となる、特定の問題についての概要を説明していることにご留意ください。本稿をご参照の上、GDPRがご自身のビジネスにどのように適用されるのか、分析を行うことをお勧めします。