「GDPRの対応が間に合わない!」サービスを閉鎖するサイトも
関連記事:GDPR関連記事:日本とEUは何を「最終合意」したのか? 2018/07/18追記
いよいよ本日、5/25からGDPRが施行されます。先月、『あなたは「26億円」払えるか?高額な罰則金の「一般データ保護規則:GDPR」』という記事を公開した後、SNS等で「全く知らなかった」「何をすればよいの?」など、深刻なお声をいただきました。記事では、ガイドラインを読んだ上で専門家に相談いただくことをお薦めしていたのですが、それでも「何人かの弁護士に相談したけど、意見がバラバラ」「我々もよく分からない、と言われた」など、お困りのEC事業者さんがいらっしゃることを知り、改めて「EC事業者が、最低限とっておくべき対策」と、よくある質問と回答をまとめてみました。
また、今回の記事は「莫大なコストはかけられない」「できる範囲で自力で対処して節約したい」「そのためには資料もガンバって読み込む」という前提で中小規模のEC事業者さんを対象に、記事内容を特化してみました。ご紹介する参考資料についても、できるだけ広く公平を心がけ、特定のサービス販売等が目的ではなく、かつ無料で日本語で公開されていて、複数社以上の実績がある実践者の資料をピックアップしたところ、結果的にJETROさんや杉本武重弁護士 の資料が多くなりましたことをご了承ください。
※注意:なお本稿はあくまで、筆者が各分野の専門家に直接相談したりセミナーや公開資料などで収集した法的根拠と対策を、Eコマース事業者の目線でまとめた記事です。最終的な判断については、必ず「弁護士などの専門家」に相談の上、指示を仰がれてください。
事業規模で差はありますが、明らかにしておきたいのは、GDPR対策自体は、数週間で完了できるような作業では無い、ということです。複合的な要素がからみ、即座に判断しにくいことも出てきます。ただ少なくとも「同業他社がまだ着手してないから」とか「もう少し情報が揃ってから」といった、都合の良い解釈は考え物です。降りかかる火の粉は「制裁金」だけではなく、顧客情報のスキャンダルも含めるとEC事業者にとって深刻な信用問題です。GDPRは日本と違い、事故を起こしていなくても制裁対象となり得ます。誰かに任せっきりにせず、経営トップで積極的に取り組むべきレベルの問題でしょう。
場合によっては、欧州部門を切り捨てるという選択肢も必要かもしれません。規模と手間を考えて「サイトを閉じる」という判断を下した事例もあります。過剰に対応する必要はありませんが、自社に取っての適切な対処を見つけて頂ければと思います。
「GDPRに抵触しないという確証がない」と閉鎖したイギリスのウェブサイト
自社は、GDPRの対象ですか?
まず、自社がGDPRの対象組織なのかどうかをチェックします。これらの項目が複雑に絡み合っている場合があるので最終的には専門家と相談する必要があるでしょう。
a) EEA域内でビジネス活動をおこなっているか。
過去、EEA(European Economic Area) = 欧州経済領域 で、SNSやマーケティング、販売、発送などの事業活動を行ったことがあれば、前回紹介したとおり、日本の企業でも対象となる可能性が高くなります。EEAとは、EU28カ国に、3カ国を加えた、以下の31カ国となります。
アイスランド/フィンランド/マルタ/リヒテンシュタイン/フランス/オランダ/ノルウェー/ドイツ/ポーランド/オーストリア/ギリシャ/ポルトガル/ベルギー/ハンガリー/ルーマニア/ブルガリア/アイルランド/スロバキア/キプロス/イタリア/スロベニア/チェコ/ラトビア/スペイン/デンマーク/リトアニア/スウェーデン/エストニア/ルクセンブルク/クロアチア/イギリス
なお、イギリスは2019年3月に、EU離脱(Brexit/ブレグジット)を予定していますが、現時点ではGDPR(一般データ保護規則)の対象国であり、かつ、EU離脱後もGDPRと同等の情報保護体制にする意向との情報があります。
UK OUTLINES NEW DATA PROTECTION LAWS / 05 October 2017/
b) 以下の3パターンの企業に該当するか
1)EEAに子会社、支店、営業所などの拠点を持つ企業
2)EEA域内の企業から、個人データ処理について委託を受ける企業
3)EEAの消費者に商品やサービスを提供する企業
具体的には、越境ECおよびそのマーケティング、グローバル企業、日本国内の旅館・宿泊施設、メーカー、カスタマーサポート、データセンター、決済システム会社などで、EEA域内で個人情報を取り扱っている場合、また、EEA域内から日本や関連国へ個人情報を移転する場合が該当します。厳密には、顧客データのみだけでなく、従業員情報も対象となりますので、現地法人や担当者に確認が必要です。
参考:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)日本貿易振興機構(ジェトロ)
c) 対象となる個人データを保有しているか
- EEA域内に所在する、国籍や居住地などを問わない個人データ
- 短期出張・短期旅行でEEA域内に所在する日本人の個人データ
- 日本企業から現地に出向した従業員の情報(元は日本からEEA域内に移転した情報)
※「処理を実行中、又は第三国への移転後に処理が予定されている個人データのいかなる移転」にも適用 (第44条)
日本からEEA域内に一旦個人データが送付された場合また、当該個人データが日本へ移転される場合
参考:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)日本貿易振興機構(ジェトロ)
d) EEAから日本へ「個人データ」を移転しているか
このデータの移転は理解が難しいので、以下に例を示します。
例:日本企業のフランス子会社からインド子会社へ、EEA域内に在住する従業員や消費者の個人情報を、書面又は電子形式の文書で、郵便又はメールで送付している。しかし、GDPRが定める行動規範・認証制度、SCC、またはBCR(大企業向け)などを適用していない、あるいは例外的に上記不適用でも認められる法的承認を受けていない場合は罰則対象となる。
※ この個人データには、IPやCookieが含まれることを注意してください。GDPR: (第4条(1)及び前文第26項から第30項)
参照:JIPDEC主催第18回データ流通促進WG~国境を越えるデータ流通の促進~
参照:ベルギー日本人会商工委員会2016年度第3回ビジネスセミナー
■そもそも、本当に多額の制裁金は発生するの?
まず、26億円が脅しではなく、また中小企業も対象となる可能性が高いことを改めて認識しておく必要があります。以下は、GDPR施工前の、過去のEUでの罰則金の事例などです。
EU、米フェイスブックに罰金1.1億ユーロ ワッツアップ買収巡り
facebookやGoogleは今回のGDPRで多くの課題を抱えている企業でもあります。
先日行われたFacebookの開発者会議 f8 では、Facebookは「過去の履歴を消すことができる機能
」を発表していましたが、GDPRが掲げる「過去を忘れる権利」に配慮した機能であることは容易に想像がつきます。
参考:Facebook raises the privacy stakes with clear history option
GoogleにEU競争法(独占禁止法)違反で3000億円の制裁金。過去最高額に
中小企業にも影響は及ぶのでしょうか。
ウィルマーヘイル法律事務所 ブリュッセルオフィス・シニアアソシエイト
弁護士(日本国、ブリュッセル弁護士会、米国ニューヨーク州) 杉本 武重 氏
最大制裁金 26億円(€2000万以下)の対象は?
GDPRでは、なにもいきなり制裁金を要求されるわけではありません。罰則には3段階の制裁ステップがあり
1)情報開示・監査指示、データ処理作業の禁止、消費者への周知命令、各種認証の警告/撤回
2)制裁金 1,000万ユーロ、または前会計年度の全世界年間売上高の2%のいずれか高い方
3)制裁金 2,000万ユーロ、または前会計年度の全世界年間売上高の4%のいずれか高い方
となっています。
※2018/05/09時点のレート 1ユーロ=130円で計算:2,000万ユーロ=26億円
※参照:GDPR 第83条 4項/5項
このうち、3)の罰則に該当するのが、
・データ処理に関する原則を遵守しなかった場合(第5条)
・適法に個人データを処理しなかった場合(第6条)
・同意の条件を遵守しなかった場合(第7条)
・特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
・データ主体の権利及びその行使の手順を尊重しなかった場合(第12-22条)
・個人データの移転の条件に従わなかった場合 (第44-49条)
・監督機関の命令に従わなかった場合 (第58条(1)及び(2))
となります。
参考:日本情報経済社会推進協会 版「一般データ保護規(仮日本語訳)」
でも、日本は「GDPR対策」がもうすぐ不要になるんでしょ?
この話題は未だ不透明な段階です。またつい先日、日本が公表したガイドラインの仮案を見ても、いくつかの追加作業が想定されます。このため、過剰な対策をしない、という判断基準のひとつにはなってきますが、一方ではこのことがGDPRの罰則を過小評価できる要素ではないことは、楽天やIIJなどの企業が、後述するBCRなどで対応している事実を加味しておく必要があります。
つまり、GDPRでは、一部の国や地域に対して、GDPRの追加対策なしに個人データを移転できるとしていて、アルゼンチン、カナダ(民間部門)、ニュージーランド、スイス、米国(プライバシーシールド)などが対象です(十分性認定:GDPR 45条)。しかし、日本は「まだ」含まれていません。EUと日本のすり合わせ途中で、2018年の前半を目処とされていましたが、直近では2018/4/25に、ようやく日本がガイドラインの「仮案」を公表したばかりで、まだ時間がかかることが予想されています。特に、仮案には、IPやクッキーなどの扱いに対する記述がなく、EC事業者の現場としては楽観視しづらい状況のように思われます。
参考:「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編) 」仮案
EEA域外への個人データの移転先が「十分性認定」を受けていない場合は、SCC(Standard Contractual Clauses:中小企業向け)やBCR(Binding Corporate Rules:主に大企業向け)などで対策をする必要があります。
特に、中小企業が選択する場合は「SCC」を選択することになると思われます。JETROさんが日本語訳された雛形を公開されているのでご紹介しておきます。
標準的契約条項(Standard contractual clauses:SCC)(欧州委員会資料の仮訳)(2018年3月)
「説明責任」が果たせるか。プロセスを知り、初動対策を。
スポーツやゲーム同様、相手の「攻め方」と「ゴール」を知ることは重要です。「最大26億円」という厳しい制裁ルールのGDPR上では、「EUデータ保護監督当局」が課せられたゴールは、立件案件数と重大性、つまり「立件数と制裁額」とされています。このため、当局は少ない人数で最大効果を得るために、第一ステップは「事業者に質問状を送ること」と予想され、対象事業者は、質問状に対して適切な「説明責任」が果たせるかどうかが問われます。これは多くのGDPRに関わる専門家が指摘しているところです。
まず「まだ対応ができていない」というEC事業者は、この説明責任を果たすために、
1)取得したEEA圏の「個人データ」の洗い出し(データ・マッピング)
2)プライバシー・ポリシーの追加・変更(GDPR対応版:英語)
3)社内の個人情報運用規定の整備(GDPR対応版:英語)
4)情報通知・同意書・処理契約フォーマットの作成(GDPR対応版:英語)
の順に、至急対応準備することが考えられます。
1)取得したEEA圏の「個人データ」の洗い出し(データ・マッピング)
データ・マッピングとは、自社が保有している個人データとは、どのような「目的」で、どのような項目についてどのくらいの数を保有・処理しているかを洗い出しておき、質問状が届いた際に、スグに説明ができるようにしておく作業です。特に、多種多様な個人データを保有している場合、優先度をつけるために、個人データの保有「目的」は重要となります。例えば、「EEA圏の従業員データ」を保有していても、その利用目的が、給与支払い、人事考課、商品宣伝、であれば、後者になるほどGDPRでの責任追求リスクは高くなるようです。
データ・マッピングについては、中小企業なら手作業で十分だと思います。
大企業の場合は、コストをかけてでも専用のデータマッピングツールなどを利用する場合があります。
2)プライバシー・ポリシーの追加・変更(GDPR対応版:英語)
従来の日本向けのプライバシー・ポリシーを「GDPRに準拠したプライバシー・ポリシー」に変更する作業です。公開される情報なので、外部からも突っ込みやすい箇所ということで優先度が高くなっています。これをゼロから準備するのは時間が無いと思われますので、『GDPR準拠「プライバシーポリシー」テンプレート』などを参照し、一般の利用者が読んで「わかりやすい」説明を心がけることが求められています。また、実際に早々に対応をすすめている事業者の事例をみていると「クッキー・ポリシー」を明確に記載しておく事例が目立ちます。
『GDPR準拠「プライバシーポリシー」テンプレート』
また、ウェブサイトに実装しておくと、当局からは「対策してるな」と評価してもらいやすいツールに
・Google提供のCookie取得の同意ツール
・IP アドレスの匿名化
・データ処理修正条項
・Google オプトアウト アドオン
・Google以外の日本の広告のオプトアウトツール
などがあります。
また、クッキーポリシーの見せ方も含め、対応が進んでいるサイトを参考にすると作業がはかどると思われます。
イタリアに本社を持つバイクメーカー:ドゥカティ:https://www.ducati.com/
EC大国イギリスの百貨店チェーン「ジョン・ルイス」 https://www.johnlewis.com/
個人情報に厳しいドイツのマイクロソフト https://www.microsoft.com/de-de/
3)社内の個人情報運用規定の整備(GDPR対応版:英語)
個人データの保護規定を社外に公開したものが「プライバシー・ポリシー」です。それを元に社内向けの規定やその運用マニュアルをGDPRに対応させる必要があります。そもそも、日本の改正個人情報保護法に準拠した「個人情報保護規程」をまだ制定されていない、という場合は、大阪府がお手本となる雛形を用意されていますので、そこから、前述のプライバシー・ポリシーに則した「GDPR準拠版」の「個人情報保護規程」とマニュアルを作成してゆけば良いでしょう。
http://www.pref.osaka.lg.jp/fukushisomu/kojinjoho-fukushi/index.html
4)情報通知・同意書・処理契約フォーマットの作成(GDPR対応版:英語)
こちらは、最近になってガイドラインが整い始めてきており、逐次対応が必要なモノも出てきているそうです。「GDPRに関する第29条作業部会ガイドライン」をチェックしておきます。
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)データポータビリティの権利(2018年2月)
https://www.jetro.go.jp/world/reports/2018/01/2d8d30044cc65583.html
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)管理者および処理者の主導監督当局の特定(2018年2月)
https://www.jetro.go.jp/world/reports/2018/01/9a90f1003bc16515.html
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)データ保護責任者(2018年2月)
https://www.jetro.go.jp/world/reports/2018/01/28dd771ad2a2c020.html
特に、GDPR施行の5/25を迎えた現段階では、スケジュール的に間に合わない場合の対策として、上記4項目以外についても、それぞれをいつまでに完了予定なのかなどを回答できる準備をしておく必要があり、以下の資料が参考になります。
参考:
ベルギー日本人会:EU一般データ保護規則(GDPR)の適用開始前の直前対策
「GDPR」そのものを把握しておく。
最後に、必読書として、以下の2つの文書は必ず目を通しておくべきでしょう。多くの方が「読まなくて良い」とお考えのようなのですが、30分程度で読める量です。最低限かけるべき時間コストとして、関係者複数名で熟読しておかれることをお薦めします。
『「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)』
『「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)』
また、特定のサービスを前提とした資料もありますが、動画+字幕で理解しやすいので以下の資料もご紹介しておきます。
5分で分かる「GDPR」(EU一般データ保護規則)の基本
GDPR対応 個人データの把握:IBMJapanChannel
General Data Protection Regulation (GDPR): Are you ready?:Payoneer
GDPR: What Is It and How Might It Affect You?:Wall Street Journal
もう一つの目線「お客様の視点」を大切に
いかがでしょうか。GDPRの対策そのものは、優先度高のタスクだけでも非常に作業量も多く、現地法人も含めたリモートでの対応となると時間のかかる作業であることを覚悟しておく必要があります。前回の記事で触れた「Googleアナリティクスの設定」の1項目を変更する程度は本当にごく一部の作業に過ぎません。
間に合わない、と放り投げるよりも、GDPR当局の視点を持ってリスク対策をすることも重要ですが、GDPR自体は「忘れられる権利」や「弱者への配慮」をはじめとする、デジタル時代の生活者個人を尊重した個人データの厳格なルールであることも事実です。EC事業者としては、もうひとつの視点「お客様の視点」に立って、改めて生活者からの信頼に結びつくことをゴールとして、前向きに捉えるよいきっかけではないでしょうか。ただ、当局へは毅然とした態度で対応を進める覚悟をしつつ。
株式会社ISSUN 代表取締役 宮松利博
