Logo - Full (Color)
GDPR or General Data Protection Regulation, Compliance Definition

GDPRへの準拠

2018年5月に施行されたGDPR、対策は万全ですか?

HubSpot

GDPRへご準拠いただきやすくなるよう、HubSpotプラットフォームがさらに強化されます。

製品の準備状況については、以下の新設ページで詳しくご覧いただけます。

詳細を見る

そもそもGDPRとは?

GDPR(一般データ保護規則)とは、1995年のEUデータ保護指令(DPD)に代わるものとして、EU(欧州連合)が新たに策定したデータ保護に関する規制です。DPDと比べ、EU市民の個人データの保護を大幅に強化すると共に、個人データを収集または処理する組織に対してより厳格な義務を課しており、2018年5月25日から施行されます。GDPRは1995年の保護指令に含まれていたデータのプライバシーとセキュリティーに関する要件の多くに基づいていますが、データ主体の権利を向上させ、違反者への罰則を強化するための新たな条項も追加されています。

GDPRの全文はこちらのページ(英語)で参照できます。また、理解しておくべき法律用語についてはこちらのページをご確認ください。

GDPRの前身とは?

GDPRについては何度も耳にされているかと思いますが、EUにはデータ保護に関する法令がかなり以前から存在していたことをご存知でしょうか? 1995年のEUデータ保護指令(DPD)は、8つのデータ保護原則を定めたもので、2018年5月にGDPRに置き換えられるまでの20年以上もの間、企業による個人データの取り扱い方法の指針とされてきました。GDPRはこの8つの原則を基礎としてさらに規制を強化した法律であるため、GDPRによる変更点について詳しく確認する前に、従来の規定について理解を深めておくことをお勧めします。

1995年の保護指令および当初の8つのデータ保護原則については、本ページの「よくある質問」セクションで詳しく説明しています。

GDPRの適用対象は?

従来のEUの法令(1995年のEUデータ保護指令)がEU内の事業体を統制するものであるのに対して、GDPRでは対象地域がはるかに広がり、a)EUの居住者に製品を販売する、またはb)EUの居住者の行動をモニタリングする、EU以外の企業も対象となります。言い換えれば、EU外に拠点を構えていても、EU市民のデータの管理や処理を行う企業はGDPRの適用対象です。

GDPRへの準備状況を確認シートでご確認ください。

GDPR施行後の主な変更点

  • 個人の権利
  • 社内処理の手順
  • 監督機関
  • 範囲、説明責任、罰則

個人の権利

同意

データ主体に自身の個人情報を送信してもらうとき、データ管理者(通常は企業)は必ずデータ主体の同意を得なくてはなりません。GDPRでは同意を求めるときの情報開示に関する基準がいっそう厳格化されました。同意は「自由意思により、適切な情報に基づいて具体的かつ明白に示される」必要があり、管理者には「明快かつ平易な言葉」で「他の事柄と明確に区別して」法的要件を説明することが求められています。さらに、管理者は自身の処理が法的要件を満たし、すべてのケースで順守されていることを証明する必要もあります。これまでDPDでは、ある行動または行動以外を通じて同意の意向が明らかである場合、かかる行動または行動以外によって同意を得ているものと見なしていました。つまり、DPDには「オプトアウト」の可能性が明記されていなかったのです。一方、GDPRではその点が変更され、データ主体は「意思表明または明らかな肯定的行動」によって同意の意思を伝える必要があります

ここで肝心なのは、顧客に同意を強制してはならない点です。また、個人データの処理に同意していることに、顧客自身が気付いていない状態を避けなくてはなりません。さらに、自分が何に同意しているかを顧客が正確に理解し、同意を取り消せるということを事前に知らされている必要があります。同意を得るためには、積極的な行動による明確な意思表示が必要です。あらかじめチェックボックスがオンになっており、それを黙認するなど、行動を伴わない場合は同意と見なされません。このため、オプトイン時にユーザーに適切な情報を提供しておくことは、今後ますます重要になります。

個人の権利の拡充

GDPRにはさらに、データ主体の新たな2つの権利が規定されています。1つは「忘れられる権利」です。データを処理する第三者に対し、データの削除依頼があったことを管理者が通知する義務を含みます。もう1つは「データのポータビリティーの権利」です。データ主体は自身のデータの写しを、一般的な形式で提供するように要求することができます。ユーザーはこの2つの権利によって、企業が保管する個人データの削除や、企業に収集された自身に関する情報の開示を、より簡単に要求できるようになります。

データへのアクセス要求

データ主体には随時、自身のデータへのアクセスを要求する権利がありますが、GDPRではこうした権利がさらに拡充されました。管理者にデータへのアクセス要求があった場合、要求への対応に過大なコストがかかることを証明可能な場合を除き、ほとんどのケースでは対応コストを請求することはできません。また、アクセス要求への対応期間が30日間に短縮されました。明らかに不当な要求や過度な要求など、一部のケースではアクセス要求への対応を拒否できることがあります。ただし、その場合は要求の拒否に対するポリシーおよび処理手順が明確に定義されており、要求の不当性または過剰性を管理者側が立証できなくてはなりません。

社内処理の手順

プライバシー バイ デザインとDPIA

GDPRには個人データを扱う事業体向けに、新たにいくつかの原則が付け加えられています。たとえば、新しいシステムを開発するときに、設計段階からデータプライバシーを考慮することを求める「プライバシー バイ デザイン」の原則があるほか、「新しいテクノロジー」や危険性の高い方法でデータ処理を行う場合に、データ保護影響評価(DPIA)の実施が義務付けられています。DPIAとは、プロジェクトまたは計画が個人のプライバシーにどのような影響を及ぼす可能性があるのかを体系的に検討するプロセスです。プライバシー関連の問題が発生する可能性をあらかじめ特定できれば、実際のプロジェクトに取り掛かる前に問題の軽減策を考えておくことができます。

データ保護責任者

セキュリティー面に関して言えば、GDPRは多くの企業に対し、データ保護責任者(DPO)を配置して準拠への取り組みを管理するよう求めています。DPOを必要とする組織には、公的機関や、多数のデータ主体を定期的かつ体系的にモニタリングする活動を行う組織のほか、センシティブ(機微)情報と呼ばれているデータを大量に処理する組織が含まれます。GDPRには既に、第三国へと個人データを移転する場合の「妥当性」を確保する方法として、DPDの承認済みの手法(プライバシーシールドとEUモデル条項を含む)が流用されていますが、DPOを配置することで、個人データを処理および保管するベンダーとの関係性の管理が容易になり、ベンダーのセキュリティー施策の点検や、ベンダーに対するデータ主体からの要求の伝達が促進されます。

契約とプライバシーに関するドキュメント

GDPRでは透明性と公正性が何よりも重視されます。そのため、管理者および処理者は自社のプライバシー通知やプライバシーステートメントなど、社内のあらゆるデータポリシーを見直して、GDPRの要件を必ず満たさなくてはなりません。管理者が外部ベンダーと契約し、自社の管理下で個人データの処理を任せる場合には、そうした処理者との契約書を更新し、GDPRの第28条で新たに定められた処理者の義務に関する条項を契約に加える必要があります。同様に、処理者は顧客との契約内容で変更すべき点を洗い出し、GDPRへの対応を済ませておく必要があります。

監督機関

ワン ストップ ショップ

GDPRには、別途説明したDPOの負担軽減につながる、ある条項が含まれています。それは「ワン ストップ ショップ」規定です。GDPRに新たに加えられたこの規定では、EU内の複数の国にオフィスを構える組織に関し、主要拠点の監督機関を「管轄機関」とし、すべての国で行う個人データの処理をまとめて監督することを認めています。そのため、複数の監督機関による指示の食い違いに苦慮する必要はありません。

報告義務違反

GDPRに含まれる新たな要件の1つに、個人データの侵害が起こった場合、そのデータが匿名化または暗号化されていない限り、管理者はその事実を知ってから72時間以内に自国の監督機関に通知しなければならないというものがあります。この規定に従うと、ほとんどのデータ侵害をDPCに報告しなければならないことになります。個人情報の盗難や守秘義務違反など、データ侵害によって個人に悪影響が及ぶ可能性がある場合は、関係する個人への報告も必要です。

範囲、説明責任、罰則

範囲

従来の法令(1995年のEUデータ保護指令)がEU内の事業体を統制するものであるのに対して、GDPRでは対象地域がはるかに広がり、EUの居住者に製品を販売する、またはEUの居住者の行動をモニタリングする、EU以外の企業も対象となります。言い換えれば、EU外に拠点を構えていても、EU市民のデータの管理や処理を行う企業はGDPRの適用対象です。

説明責任

この新たに取り入れられた概念により、管理者および処理者は自国の監督機関に対して、GDPRへの適合性を立証する責任を負うようになりました。管理者および処理者には、データを処理して処理内容を記録することに加え、処理方法の定期的な見直しが求められます。また、スタッフをトレーニングし、適切な技術的および組織的な対策を講じることによってGDPRの要件を満たすと同時に、そのことを証明できなくてはなりません。

厳格な罰則

GDPRの新しい規定の重要性をいっそう高めているのが、違反に対して新たに設けられた罰則規定の存在です。管理者および処理者が個人データの取り扱いを誤るなど、データ主体の権利を侵害した場合は、問題となっている違反の種類に応じて、最高2,000万ユーロまたは全世界の合計年間売上高の4%(いずれか高い方)を罰金として科される可能性があります。

GDPRへの準拠に関するよくある質問

  • 1995年のEUデータ保護指令(DPD)は、このたびGDPRに置き換えられることになりましたが、DPDで示された8つのデータ保護原則はGDPRの基礎になっています。この8原則では、組織による個人データの取り扱い方として次のようなルールを定めています。

    1. 個人データを公正に取得および処理すること
    2. 1つ以上の、指定された合法的な目的のみのために個人データを保持すること
    3. 当初収集された目的に沿った方法でのみ、個人データを処理すること
    4. 物理的かつ論理的にデータの安全性を維持すること
    5. データの正確性と最新性を維持すること
    6. 要件にかなう、適切かつ必要最低限のデータを収集すること
    7. 指定された目的のために必要な期間のみデータを保持すること
    8. 本人から求めがあった場合、該当する個人データの写しを個人に提供すること

    DPDはEUの指令(Directive)です。指令は加盟国の政府に対して直接的な法的拘束力を及ぼし、EUの全加盟国が達成する必要のある目標が設定されますが、その目標を達成するためにどのような法律を施行するかは各国に任されています。たとえばアイルランドでは、1998年に自国を対象とするデータ保護法が施行されました。

    一方、GDPRなどの規則(Regulation)は、加盟国の国内法よりも優先され、EU全体(加盟国の政府、企業、個人)に対して直接的な法的拘束力を及ぼします。

  • まず、用語の定義を確認しておきましょう。初回の登録後に再度Eメールアドレスを確認することでユーザー登録を完了する2ステップの仕組みを「ダブルオプトイン」と呼びます。GDPRではダブルオプトインを義務付けていません(ただし、一部の国では必須となる可能性があります)。

    ここで強調しておきたいのは、ハブスポットのサービスをご契約されている皆様は、既に自社のポータル内でダブルオプトイン機能を利用できるという点です。この機能を活用すれば、必要な同意を得ていることを証明しなくてはならない場合に備えて、さらなる安全策を講じることができます。
  • 2016年6月、イギリスではEU脱退の是非を問う国民投票が行われ、過半数を超える有権者がEU脱退に賛成票を投じました。その後2017年3月には、メイ首相がEU基本条約(リスボン条約)第50条に基づいて脱退を通告し、正式に交渉が開始されました。これにより、脱退協定が締結されるか、通告日から2年間(つまり2019年3月)のいずれか早い方の段階でイギリスがEUを脱退することが決定しました。GDPRが施行される2018年5月の時点では、イギリスは引き続きEU加盟国である可能性がきわめて濃厚です。このため、イギリスを拠点とする企業は、EU脱退が完了していないものとして、GDPRへの対応を進める必要があるでしょう。

    イギリスではGDPRに対応するために、既存のデータ保護法(DPD)の改定法案が提出されています。この法案は現在、イギリス議会で審議中です。

    イギリスを拠点としていない企業でも、イギリス内のベンダーまたは関連会社と個人データを共有しているなら、この動向に注視しておく必要があります。イギリスがEUを離脱した後は、国境をまたいだデータのやり取りに対して適切な保護が自動的に実施されなくなる可能性があるため、イギリスに移転するデータを保護できるように、必要に応じて追加のプロジェクトを計画しましょう。

  • 個人に対しては、既に1995年のEUデータ保護指令によって、個人データの保護を目的とする多くの権利が付与されていますが、GDPRではこうした権利が大幅に強化され、データ主体に次のような権利が認められるようになります。

    • 組織または企業によって自身のデータがどのように処理されるかについての詳細情報を要求できる
    • 組織が保有している自身の個人データの写しを要求できる
    • 不正確または不完全なデータの修正を要求できる
    • 組織にデータを保持する法的根拠がない場合などに、組織に対して自身のデータを消去するよう要求できる
    • ある組織から自身のデータを取得し、別の組織に移転するよう要求できる(データのポータビリティー)
    • 所定の状況で、組織が自身のデータを処理することを拒否できる
    • プロファイリングなど、自動的な意思決定の対象とされない(一部例外あり)
  • いいえ。GDPRはデータをEU内で保管するようには義務付けておらず、EU外への個人データの移転ルールに関して変更はありません。つまり、個人データが「適切に保護されている」限り、データを他の国に移転してもよいということです。たとえばEUは、適切な保護基準を満たしていると見なされる国の「ホワイトリスト」を作成し、対象国に対するデータの移転を認めています。このホワイトリストに含まれない国(米国など)にデータを移転する場合には、データ管理者は承認済みの約款(EUモデル条項、拘束的企業準則(BCR)など)や、プライバシーシールド認定などの法律で規定されている他のいずれかの代替策に頼らなくてはなりません。

  • GDPRの詳細情報を取り上げているウェブサイトをいくつかご紹介しますので、ぜひ参考にしてください。