2018年5月25日にGDPR(General Data Protection Regulation/EU一般データ保護規則)が適用開始となりました。
GDPRは欧州経済領域(EEA)域内に所在する個人の個人データ(パーソナルデータ)の処理やEEA域外への移転のルールについて定められています。
たとえEAA域内に拠点を持たない事業者であっても、域内在住者の個人情報の取り扱いに適用されることから、世界中の企業がその対応に追われています。
今回はマーケターが押さえておきたい「GDPRの基礎知識」についてまとめました。
GDPR(EU一般データ保護規則)とは?
概要
2018年5月25日にGDPR(General Data Protection Regulation/EU一般データ保護規則)が適用開始となりました。
GDPRとは欧州経済領域(EEA:EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)の個人データ保護の強化を目的とした管理規則です。
制定の背景には、情報のグローバル化やクラウドサービスの拡大、ビッグデータといったデータの活用など個人情報をとりまく環境の変化により、グローバルな視点での個人情報保護の重要性が高まっていることが挙げられます。
GDPRはEEA域内に所在する個人の個人データ(パーソナルデータ)の処理やEEA域外への移転のルールについて定められています。域内に拠点を持たない事業者であっても、域内在住者の個人情報の取り扱いに適用されることから、世界中の企業がその対応に追われています。
また、規則の違反に対しては、前年度の全世界売上高の4%もしくは2000万ユーロのどちらか高い方という巨額の制裁金が課せられることからも注目を集めています。
GDPRの対象は?
GDPRでは、GDPRの保護対象となる個人データを「処理」(※1)、及び個人データを EEAから第三国に「移転」するために満たすべき法的要件を規定しています。
※1「処理」とは、取得、記録、保存、参照、変更、加工、削除、復旧等個人データに関わる様々な取り扱いがこれに該当します。
GDPRの対象は、域内在住者の個人情報の取り扱いに適用されることから、EEA域内に事業所をもつ企業はもちろんのこと、域内に拠点を持たない事業者であってもECやWebサービスなどインターネットを介してサービスをEEA域内に提供している事業者や、クラウドベンダーなどEEA域内在住者のデータを取り扱う事業者はGDPRへの対応が必要となります。
管理者が負う義務とは?~処理と移転
個人データの処理
管理者(個人データの処理を行うもの)は、個人データを処理するにあたり、下記の 6原則(GDPR 第 5 条第 1 項)の遵守に責任を負い、かつ当規則の遵守を実証することが義務付けられています。
- 適法性、公平性および透明性の原則:個人データは、適法、公平かつ透明性のある手段で処理されなければならない。
- 目的の限定の原則:個人データは、識別された、明確かつ適法な目的のために収集されるものでなければならず、これらと相容れない方法で更なる処理を行ってはならない。
- 個人データの最小化の原則:個人データは、処理を行う目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。
- 正確性の原則:個人データは、正確であり、必要な場合には最新に保たれなければならない。不正確な個人データが確実に、遅滞なく消去または訂正されるように、あらゆる合理的な手段が講じられなければならない。
- 保管の制限の原則:個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。
- 完全性および機密性の原則:個人データは、当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。当該方法は、無権限の、または違法な処理に対する保護および偶発的な滅失、破壊、または損壊に対する保護も含むものとし、個人データの適切なセキュリティが確保される形で処理されなければならない。
(※JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編) PDFファイル (1.1MB) P8 表5:個人データの処理における原則より)
また、管理者または処理者(管理者を代理して、個人データの処理を行うもの)は個人データの適法な処理の要件(GDPR 第 6 条第 1 項)のいずれかに該当しなければ処理することはできません。
「処理の要件」のなかでも一番重要なものが、「特定の目的のために個人データの処理に同意を与えた場合」つまり、積極的な同意があることが含まれています。
GDPR施行前に収集した個人データであっても、同意の証明ができないデータは利用ができなくなるため、様々なサービスから個人情報に関する同意を求めるメールが送信されるケースが多くみられました。
個人データの移転
移転についての明確な定義は定められていませんが、EEA内の個人データを形式を問わずEEA外に移動する場合が該当します。
例えば、EEA内から EEA 外へEEA内の個人データを電子メールで送付する場合が挙げられます。
EEA域外への個人データの移転は原則として違法とされています。
移転先において十分に個人データ保護措置を講じていることが認められている場合(第45条)、または、適切な保護措置を取った場合などには、例外的に適法とされます。
現時点で日本は、第45条に指定された十分に個人データ保護を実施している国とは認められていないことから、標準契約条項(Standard Contractual Clauses:SCC)の締結、もしくは拘束的企業準則(Binding Corporate Rules:BCR)の承認などが必要となることに注意が必要です。
デジタル広告業界に与える影響
GDPR適用はデジタル広告業界にどのような影響を与えるのでしょうか?
ポイントはGDPRが対象とする「個人データ」とは、識別されたまたは識別され得るすべての情報が対象となる点です。
(個人データの例)
- 氏名
- 識別番号(ex.ユーザー識別子、クレジットカード番号など)
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス/クッキー識別子)
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
名前や住所、クレジットカード番号はもちろんのこと、IPアドレスやCookieも個人情報となることから、リターゲティング広告や計測、データファイルからのカスタムオーディエンスの作成への影響が考えられます。
FacebookやGoogleをはじめとする広告プラットフォーム各社もGDPRにおけるデータ管理者及び処理者としての対応をおこなっています。
各広告プラットフォームのGDPRに対する対応を以下に纏めました。
- 一般データ保護規則(GDPR) | Facebook Business
- 一般データ保護規則(GDPR)の順守と新たなプライバシー保護の提供について | Facebookニュースルーム
- Introducing New Requirements for Custom Audience Targeting | Facebook Business
Criteo
さいごに
マーケターが押さえておきたい「GDPRの基礎知識」についてまとめてみました。
GDPRが目指すものは、「個人データは収集する事業者のものではなく、データ主体である個人のものであり、自身のパーソナルデータは自身でコントロールする権利が保障される」というものです。
個人のあらゆる情報がやみくもにマネタイズの材料にされる傾向に少なからず警鐘を鳴らすものとなるでしょう。
これらがデジタル広告にどのような影響をもたらすのか、未だ明確な回答はありませんが、引き続き最新情報に注目していきたいと思います。
<参考>
- 2018 reform of EU data protection rules | European Commission
- https://www.eugdpr.org/
- 「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月) | 調査レポート – 国・地域別に見る – ジェトロ
- EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社
- 【海外識者シリーズ】第3回:新しい一般データ保護規則概説(3) – 個人データ処理の要件および個人データのセキュリティ|Global Reach
(執筆:松元)
