GDPRとは？日本への影響と企業側の対応を解説

GDPRは欧州連合（EU加盟国）で2018年5月に施行された個人情報を強化する規則のことです。GDPRが定める個人情報とは、直接的な名前・住所だけでなく、間接的なIPアドレスやCookieなどのオンライン識別子が含まれます。

オンライン識別子の取り扱いは、2020年1月に施行された「CCPA（カリフォルニア州消費者プライバシー法）」でも触れられており、企業側としてAppleは「ITP(トラッキング防止機能)」、Googleは「サードパーティCookieのサポート終了(2022年1月頃)」などで対応を進めています。この記事では、GDPRをはじめとした世界的な個人情報の取り扱い規制強化において、日本への影響と企業側の対応を解説していきます。

GDPR（General Data Protection Regulation｜一般データ保護規則）とは？

GDPRは、欧州経済領域（EEA）所在の個人情報保護を目的とした規則で、2016年4月27日に制定され、2年間の移行期間を経て2018年5月25日に施行されました。
主な内容は以下通りです。

• EEA所在者の個人情報(*)を取り扱う場合、収集・保存・利用についての規制強化
  *氏名、住所、位置情報、オンラインの識別子（IPアドレス、Cookie他）、年齢制限他
• 個人情報の利用目的別の適正な説明や同意、ユーザー側の閲覧・削除の権利
• 個人情報の域外への移転の原則禁止
• 法令違反は警告、停止、罰金（200万ユーロ又は世界の年間売上高の4％）が課せられる

参考記事：【公式】欧州連合（EU加盟国）のGDPR解説（英語）
参考記事：【非公式】GDPR完全ガイド（英語）

施行前より、その厳格な内容と高額な罰金などによりEU域外の企業のビジネスに対しても大きな影響が出るとして関心を集めています。既に高額な罰金を課された事例が報告されており、中でもフランス当局がGoogleに対して5,000万ユーロ（約63億円）の罰金を科した事例は大きな注目を集めました。

関連記事：徐々に明らかになるGDPRの影響 - 日本企業に求められる対応とは
関連記事：GDPRに違反したと認定される罰金についてのレポートが公表される

GDPRが定める個人情報の定義

GDPRでは、個人情報を「識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。」（第4条(1)）と非常に広範に定義しています。
いくつかの具体例をみていきましょう。

GDPRで公式に提示した個人情報の例

• 氏名
• 住所
• メールアドレス
• IDカード番号
• 位置情報
• IPアドレス
• Cookie ID
• 携帯電話の広告識別子
• 病院や医師が保持するデータであり、個人を一意に識別する象徴となりうるもの

GDPRで公式に提示されていないものの、個人情報に該当する可能性が高いと解釈されている例

• 取引履歴
• 写真
• ライフスタイルに関連する興味・関心
• SNSへの投稿

また、GDPRのCookie使用規制を補完するeプライバシー規則（ePrivacy Regulation）案がEU理事会可決されれば、ユーザー側でCookie使用の事前同意、使用制限をコントロールできるようにする対応が求められます。

参考記事：【総務省】EU・eプライバシー規則(案)に関する議論の状況

なぜGDPRが施行されたのか？目的とは？

元々存在したEUデータ保護指令（Directive 95/46/EC）では、オンラインで取り扱う個人情報について規制が欠けていました。そのため、個人情報を取り扱う全ての企業の公平性、古い制度の下各データ保護機関に通知するための費用削減を理由に、GDPRが施行されました。GDPRで個人情報の取り扱いを強化し、消費者からの信頼性を高めた結果として、事業の促進を目的としています。

GDPR関係する個人情報の規制、対応について

GDPR以外にも個人情報取り扱いについて、世界的な動きがあり対応には配慮が必要です。米国カリフォルニア州、中国、タイ、ブラジルなどでGDPRに準じた内容を持つ法制度が施行されています。（一部の国々は今後施行予定）

関連記事：2021年も世界各国で個人情報保護の規制強化の動きが続く

ここでは、米国カリフォルニア州で施行されたCCPAについて、影響と対応を検討するために取り上げていきます。

CCPA（カリフォルニア州消費者プライバシー法）

CCPAは消費者の権利を強化した、米国カリフォルニア州のプライバシー法制度です。

• 個人情報の開示請求（企業が収集した個人情報や使用用途を開示請求できる権利）
• 個人情報の削除、第三者に売却しないように求める権利（オプトアウト）

参考記事：【原文】California Consumer Privacy Act of 2018(英語)
関連記事：2020年1月に施行される「カリフォルニア州消費者プライバシー法（CCPA）」に向けて必要な準備とは？

また、CCPAを強化する位置づけとして「カリフォルニア州プライバシー権利法」（California Privacy Rights Act: CPRA）が2023年1月1日から施行される見込みとなっております。

参考記事：【Wikipedia】カリフォルニア州プライバシー権利法（英語）
関連記事：カリフォルニア州でCCPAに続く新たなプライバシー法が可決の見込み

AppleがSafariブラウザに実装した「ITP(トラッキング防止機能)」

ITPはIntelligent Tracking Preventionの略でSafariブラウザのユーザー追跡を制限するための機能です。ユーザーの追跡はCookieという識別子で行われます。ITP1.0ではファーストタイプCookie（訪問したドメインのCookie）の保持期間が制限され、現在ではサードパーティCookie（訪問したドメイン以外のCookie）は例外なくブロックにアップデートしております。ITP機能により、サードパーティCookieを利用してた、リターゲティング広告やアフィリエイト計測などに影響が出ていると想定されます。

参考記事：【開発者ブログ】IntelligentTracking Prevention（ITP）機能強化の説明(英語)

Google「サードパーティCookieのサポート終了」

Google Chromeブラウザでは、2022年1月頃にサードパーティCookieに対してサポートを終了すると発表されました。いずれも個人情報保護の観点からサポート終了に至っており、AppleのSafari同様Google Chromeでも、サードパーティCookieを利用したリターゲティングなどのマーケティング活動が出来なくなります。また、GoogleはサードパーティCookieに代わる「プライバシーサンドボックス」を発表しております。個人情報をブラウザに保持し、持ち出さずに最適な広告を表示するといったプロジェクトです。

参考記事：【開発者ブログ】Chromeが今後目指す方向性（英語）

GDPRなどの個人情報の規制による日本への影響

日本も「個人情報に対する意識の高まり、技術革新を踏まえた保護と利用のバランス、個人情報が多様に利活用される時代における事業者責任の在り方及び越境データの流通増大に伴う新たなリスクへの対応等」の3つの観点から個人情報保護法改正が2020年6月に成立しました。GDPRの「紐付けることで特定可能な個人情報」同様に「個人関連情報に関する規律」として新たに設けられており、Cookieや閲覧履歴・購買履歴などを第三者に提供する場合において、同意が必要になります。施行を２年以内としており、遅くても2022年6月頃には企業側の対応が必要と考えられます。

参考記事：【個人情報保護委員会】改正個人情報保護法について

GDPRなど世界的な個人情報保護規制による日本企業の対応

サービスを展開する地域の個人情報保護規制に準拠するためにも、日本企業が対応を進めていくべきポイントを紹介していきます。

所有する個人情報の把握、一元管理

どのような個人データを、どこに保有していて、何のために利用しているのかまず把握が必要です。点在している個人情報であれば、管理のリスクや重複する収集データを避けるため、まずは個人データを統合し一元管理を目指していきます。個人情報を利用する目的としてCRMやMAなどツール連携が要件に含まれてきます。
そのうえで、自社が個人情報を利用する目的と、その目的を達成するために取得する必要のある個人情報は何であるかについて「十分であり、関連性があり、かつ、必要のあるものに限定」（第5条1項(c)）して検討・決定していきます。さらに、それぞれの個人情報について、必要な利用期間と、利用期間を過ぎた後に消去できる体制の整備も必要です。

セキュリティインシデント対応

情報漏洩、不正アクセス、サイバー攻撃などのセキュリティインシデント対応のフローと体制を構築します。個人情報の収集・保存・利用においてリスク分析を行い、セキュリティ強化、インシデント対応を行います。

GDPRに対応したプライバシーポリシーの改定、同意（オプトイン）

プライバシーポリシーをGDPRに対応させるには、まず個人データの利用目的、保持期間、第三者による利用有無、ユーザー側の請求・削除権利を記載する必要があります。これらの改定には、前項の「所有する個人情報の把握」がクリアになっていることが前提です。
続いてはGDPRに対応したプライバシーポリシーの同意（オプトイン）です。この同意を求める内容は、GDPRにより「別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示」される必要があります。（第7条2項）

既存顧客にはサービスの再ログイン時のアプローチから同意を求め、新規訪問者にはポップアップなどでCookie使用の同意を求めるのが一般的です。さらに、ユーザーが与えた同意をいつでも撤回できるための機能の整備や、監査などに対応するためにこれらの同意の証拠を適切に提示できる体制の整備も求められます。なお、16歳未満の個人情報は保護者の同意を得る必要がありますので注意が必要です。

ユーザーが自身の個人情報に関する権利を行使できる機能の整備

GDPRは、ユーザーに対して自身の個人情報に関する以下のような様々な権利を認めており、企業はそれらの行使を容易なものとする義務があります。

• 自身に関するデータ（目的・種類・保存期間など）へのアクセス権（第15条）
• 訂正の権利（第16条）
• 消去の権利（「忘れられる権利」）（第17条）
• 取扱いの制限の権利（第18条）
• データポータビリティの権利（第20条）
• プロファイリングを含む個人情報の取扱いに関して異議を申し立てる権利（第21条）
• プロファイリングを含む自動化された取扱いに基づいた決定の対象とされない権利（第22条）

まとめ：個人情報保護規制の今後

不正アクセスなどによる個人情報の漏洩が大企業で発生しており、社会問題の一つになっています。対して、消費者が複数のオンラインサービスに個人情報を登録することも一般的です。デジタル経済が発展していく中で、個人情報保護規制の強化は必要不可欠という状況となっており、企業側も個人情報取り扱いの見直しが必須になると言えます。また、匿名性という情報の中にもCookieやIPアドレスなども間接的な個人情報が存在しており、活用・売買には消費者が権利として同意は必然的です。

弊社では、GDPRなどの個人情報保護規制に対応した顧客の個人情報を統合・管理するシステム「SAP Customer Data Cloud from GIGYA」のオフィシャルパートナーとして導入支援を行っております。大規模なシステム導入となることから、個人情報の管理設計や対応工程など実績・ノウハウを持つ弊社にまずはお気軽にご相談ください。