このコンテンツは有料note「webライターとメディア運営者の、実践的教科書(安達裕哉著)」より転載しています。
最近、webサイトを巡回していると、どうもCookie利用に関する同意を求めるサイトが多いと思いませんか?
実はこれ、EUの定めた規則の影響です。
具体的には、個人データ(個人情報)の取扱いに関して、EUは「GDPR(General Data Protection Regulation)」という規則を定めています。
そして、GDPRは日本国内の事業者にも、域外適用される場合があります。
特にWebサービス提供事業者は、Cookieの取得・利用についてGDPRの規制を受ける可能性がありますので、個人情報保護マニュアル等の見直しが必要になる可能性があります。
そこで今回は、事業者が注意すべきGDPR規制の概要をまとめました。
1. GDPRとは
「GDPR(General Data Protection Regulation)」とは、個人データの取扱いに関する規制を定めるEU(欧州連合)の規則です。日本語では「EU一般データ保護規則」と訳されています。
日本国内の事業者に対しては、日本の個人情報保護法令が適用される一方で、GDPRが併せて適用される場合があるので注意が必要です。
2. GDPRの適用範囲|EU圏外の事業者にも域外適用され得る
GDPRはEUの規則ですが、EU圏外の事業者に対して域外適用される場合があります。日本国内の事業者も、域外適用の対象となっている場合には、GDPRの規制を遵守しなければなりません。
個人データの取扱いについてGDPRが適用される事業者は、以下のとおりです(GDPR3条)。
①EU域内の管理者および処理者
「管理者」とは、個人データの取扱いの目的・方法を決定する者(自然人・法人・行政機関など)を意味します。
「処理者」とは、管理者の代わりに個人データを取り扱う者(自然人・法人・行政機関など)を意味します。
EU域内の管理者または処理者が、拠点の活動過程で個人データを取り扱う場合には、一律GDPRが適用されます。
(例)
・EU法に準拠して設立された会社が、顧客の個人データを取扱う場合
・EU法に準拠して設立された会社が、委託を受けて日本の会社の顧客の個人データを取扱う場合
②EU域内の管理者から個人データの取扱いの委託を受けた処理者
処理者自身がEU域内の主体でない場合でも、委託元の管理者がEU域内にある場合には、処理者による個人データの取扱いにGDPRが適用されます。
(例)
・日本の会社が、委託を受けてEU法人の顧客の個人データを取扱う場合
③EU域内の個人に対して、商品やサービスを提供する事業者
事業者自身がEU域内の主体でなくても、商品やサービスの提供先である個人がEU在住の場合には、事業者による個人データの取扱いにGDPRが適用されます。
(例)
・日本の会社が、EU在住の顧客に対して、ECサイトを通じて商品を販売する場合
④EU域内の個人の行動を監視する事業者
「監視」には、ターゲティング広告やレコメンドなど、個人の行動を捕捉する行為が広く含まれます。
事業者自身がEU域内の主体でなくても、行動監視の対象である個人がEU在住の場合には、事業者による個人データの取扱いにGDPRが適用されます。
(例)
・日本のWebマーケティング会社が、EU在住のサイト閲覧者に対して、ターゲティング広告を表示する場合
特に日本国内のWebサービス提供事業者は、③および④によるGDPRの適用に注意しなければなりません。EU企業との間で取引がないとしても、自社のウェブサイトにEUからのアクセスが集まっている場合には、GDPRの規制を踏まえた対応が求められます。
3. GDPRでは「個人データ」の「取扱い」が規制されている
GDPRは、対象事業者による「個人データ」の「取扱い」に対して適用されます。
特にWebサービス提供事業者にとっては、Cookieが「個人データ」の定義に含まれており、GDPRの適用対象となる点に注意が必要です。
3-1. GDPR上の「個人データ」とは?|Cookieも含まれる点に要注意
GDPR4条1項により、「個人データ」は「自然人(個人)に関する情報」と定義されています。この定義は、日本の個人情報保護法における「個人情報」や「個人データ」の定義よりも広いものです。
日本の個人情報保護法における「個人情報」または「個人データ」に該当するためには、その情報によって特定の個人を識別できることが要件とされています(個人情報保護法2条1項、2項、16条3項)。
例えば、単体では個人の識別に至らないCookieは、日本の個人情報保護法上の「個人情報」や「個人データ」に該当しません。
Cookieは「個人関連情報」に該当し、取扱いに一定の規制が設けられています。しかし、第三者提供時の本人の同意取得が原則として不要であるなど、個人データと比較して規制内容は緩やかです。
これに対して、GDPR上の「個人データ」は、そのデータ自体によって個人を識別できることは要件とされていません。Cookieも「自然人(個人)に関する情報」であるため、GDPR上の個人データに該当します。
したがって、EU在住のサイト閲覧者からCookieを取得するWebサービス提供事業者は、Cookieの取扱いについて、GDPRの規制を遵守する必要があるのです。
3-2. 個人データの「取扱い」とは?
個人データの「取扱い」には、個人データに関する業務遂行が広く含まれます(GDPR4条2項)。個人データの「取扱い」に当たる行為の例は、以下のとおりです。
・収集・記録・編集・構成・記録保存・修正、変更・検索・参照・使用・送信による開示・配布・個人データを利用可能なものとすること・整列、結合・制限・消去・破壊
個人データに関連する業務であれば、ほぼすべてが「取扱い」に該当し、GDPRの適用対象になると理解しておきましょう。
4. 個人データの取扱いには、原則本人の同意が必要
GDPR規制においてもっとも重要なポイントの一つが、個人データの取扱いを行う際に、原則として本人(個人データの主体)の同意が必要となる点です(GDPR6条1項(a))。なお本人は、個人データの取扱いに関する同意を、いつでも撤回することが認められます(GDPR7条3項)。
管理者は、個人データの取扱いについて、本人の同意が存在することを証明できるようにしておかなければなりません(GDPR7条1項)。
4-1. Cookieの取得等についても、本人の同意が必要
CookieもGDPR上の「個人データ」に該当するため、取扱いに関して本人の同意を得ることが必要です。
最近では多くの日本語サイトでも見られるように、ウェブサイトにアクセスした際に、Cookieの取得等について、閲覧者の同意を取得するポップアップを表示することが考えられます。
なお前述のとおり、GDPR上の個人データの「取扱い」には、個人データの取得(収集)行為のみならず、その後の処理に関する業務全般も含まれます。
そのため、Cookieの取扱いに関するポリシーをあらかじめ詳細に定めておき、ポップアップの中でリンクを掲載するなどして、閲覧者による同意の対象に含めておくべきでしょう。
4-2. 例外的に本人の同意が不要となる場合
法令・契約の遵守等を促す観点から、以下いずれかの目的で個人データの取扱いが必要となる場合には、本人の同意がなくても個人データの取扱いを行うことが認められます(GDPR6条1項(b)~(f))。
・本人が契約当事者となっている契約の履行
・本人との契約締結前に、本人の要求に際して手段を講じること
・管理者が服する法的義務の遵守
・本人または他人の生命に関する利益の保護
・公共の利益、または管理者に与えられた公的な権限の行使による職務の遂行
・管理者または第三者の正当な利益(個人データの保護を求める本人の利益・基本的な権利・自由の方が優先する場合、特に本人が子どもの場合を除く)
5. GDPRに基づく、個人データに関する本人の権利内容
GDPRの各規定に基づき、本人には主に以下の権利が認められています。GDPRの適用を受ける事業者は、本人による各権利の行使に対応できる体制を整備しなければなりません。
5-1. 個人データにアクセスする権利
本人には、個人データの管理者に関する情報や、個人データの管理態様に関する情報にアクセスする権利が認められています。
具体的には、管理者の本人に対する情報提供義務が定められているほか(GDPR13条、14条)、本人の管理者に対するアクセス請求権も認められています(GDPR15条)。
なお、本人が請求する場合には、管理者は本人に対して、個人データを一般的に利用されている機械可読性のある形式で提供しなければなりません(GDPR20条)。例えばwordファイルやexcelファイルなど、誰でも読み取れる形式の電子ファイルによって、個人データを受け取る権利が認められています。
また本人は、管理者から提供を受けた個人データを、自由に第三者に対して提供できます。その際、管理者の同意は不要です。
5-2. 個人データの訂正・消去を求める権利
本人には、不正確な個人データの訂正を請求する権利が認められています(GDPR16条)。管理者は、本人から訂正請求を受けた場合、不当に遅滞することなく、不正確な個人データを訂正しなければなりません。
また以下のデータについては、本人に消去を請求する権利が認められています(GDPR17条1項)。
・個人データが収集、取扱いの目的との関係で、必要のないものとなっている場合
・本人が個人データの取扱いに関する同意を撤回し、かつその取扱いの法的根拠が他に存在しない場合
・本人が個人データの取扱いについて異議を述べ、かつその取扱いの優先的な法的根拠が存在しない場合(ダイレクトマーケティングを目的とする個人データの取扱いについては、本人が異議を述べた時点で、直ちに削除請求の対象となる)
・個人データが違法に取り扱われた場合
・管理者が服するEU法またはEU加盟国の国内法に基づき、個人データが消去されなければならない場合
・個人データが情報社会サービスへ提供するために収集された場合
上記に該当する個人データについて、本人から消去請求を受けた管理者は、不当に遅滞することなく、当該個人データを消去しなければなりません。
ただし、以下のいずれかの目的により個人データの取扱いが必要となる場合には、例外的に個人データを消去しなくてもよいとされています(同条3項)。
・表現および情報伝達の自由に関する権利行使
・EU法またはEU加盟国の国内法上の義務遵守、公共の利益、または公的権限の行使による職務遂行
・公衆衛生の分野における公共の利益上の理由
・公共の利益のための保管、科学的研究、歴史的研究、統計(目的達成が不可能となるおそれがある場合、または目的達成を深刻に阻害するおそれがある場合に限る)
・訴えの提起、攻撃防御
5-3. 個人データの利用制限を求める権利
以下のいずれかに該当する場合には、本人は管理者に対して、個人データの取扱いの制限を請求する権利が認められます(GDPR18条1項)。
・個人データの正確性について、本人から疑義が提示されている場合(管理者が正確性を確認するための期間内に限る)
・取扱いが違法である個人データについて、本人が消去に反対し、その代わりに利用制限を求めている場合
・取扱いの目的との関係で、個人データが必要のないものとなっているが、本人が訴訟の提起および攻撃防御のために、当該個人データを必要としている場合
・優先的な法的根拠が存在しない旨を主張して、本人が個人データの取扱いについて異議を述べている場合
5-4. 個人データの取扱いに異議を述べる権利
以下の目的による個人データの取扱いについては、原則として本人の同意がなくても認められますが、本人にはいつでも管理者に異議を述べる権利が認められています(GDPR21条1項)。
本人が異議を述べる場合、前述の要件に従い、個人データの消去または利用制限を併せて管理者に請求することが可能です。
・公共の利益、または管理者に与えられた公的な権限の行使による職務の遂行
・管理者または第三者の正当な利益
また、上記に該当しない個人データの取扱いであっても、ダイレクトマーケティングを目的とするものについては、本人はいつでも管理者に異議を述べる権利を有します(GDPR21条2項)。
ダイレクトマーケティングを目的とする個人データの取扱いについては、本人が異議を述べた時点で、管理者は直ちに同目的による取扱いを中止しなければならず(GDPR21条3項)、さらに消去請求の対象となります。
6. GDPRの適用を受ける事業者が負う責任
GDPRの適用を受ける管理者は、以下の対応を行う責任を負います。Cookieの取得等に関してGDPRの適用を受ける事業者は、以下のポイントを踏まえつつ、個人情報保護マニュアルの見直し等を行いましょう。
6-1. GDPRの規制に沿ったシステム・人的体制の整備
管理者は、GDPRに沿った個人データの取扱いを行い、かつ取扱いの内容を説明できるようにするため、適切な技術上・組織上の措置を実装しなければなりません(GDPR24条)。以下は管理者が講ずべき技術上・組織上の措置の一例です。
・個人データの仮名化、暗号化
・システムの機密性確保
・問題発生時に備えた個人データへのアクセス確保
・システムの定期的なテスト、テストのためのマニュアル整備
Cookieを取得・利用するWebサービス提供事業者としては、Cookieデータを管理するサーバーのセキュリティ強化や、本人による各種請求を受けた際に、クイックにCookieデータへアクセスできるような体制の整備などがポイントになるでしょう。
6-2. 個人データの取扱いの記録・保管
管理者は、個人データの取扱活動に関する記録を保管することが義務付けられます(GDPR30条1項)。
管理者が保管すべき個人データの取扱活動の記録には、以下の情報を含めなければなりません。
・管理者等の名前、連絡先
・個人データの取扱いの目的
・本人の類型、個人データの種類
・個人データの開示先の類型
・適切な保護措置を示す文書(第三国や国際機関に個人データを提供する場合に限る)
・種類ごとに設けられているデータの削除期間(可能な場合に限る)
・技術的および組織的安全管理措置の概要(可能な場合に限る)
6-3. 個人データ侵害時の通知・連絡
管理者は原則として、個人データの侵害を認識してから72時間以内に、所轄監督機関機関に対して侵害の事実を通知する必要があります(GDPR33条1項)。やむを得ない事由により通知が遅延する場合には、遅延の理由を付したうえで通知を行わなければなりません。
さらに、個人データの侵害により本人の権利・自由に高いリスクが生じる可能性がある場合には、本人に対して侵害の事実を連絡することも義務付けられます(GDPR34条1項)。
7. GDPRに違反した事業者が受けるペナルティ
GDPRに違反した事業者は、違反によって本人に生じた損害を賠償する責任を負います(GDPR82条1項)。
損害賠償の対象には、慰謝料に加えて信用失墜による売上・収益の減少なども含まれ、非常に高額になるケースもあるので要注意です。
また、GDPRに違反した事業者に対しては、EUによる制裁金が科される場合もあります。制裁金額は、違反行為の悪質性等に応じて決定されますが、最高額は以下のいずれか高い方の金額です。
①2,000万ユーロ
②直前の会計年度における世界全体の売上総額の4%
損害賠償・制裁金のいずれも、ペナルティを受ける事業者にとって甚大な損失を及ぼしかねません。
違反によるペナルティを回避し、かつ個人情報保護に関する顧客・取引先・社会からの信頼を確保するためにも、GDPRを踏まえた個人情報保護マニュアル等の見直しに着手しましょう。
—
【お知らせ】
Books&Apps及び20社以上のオウンドメディア運用支援で得られた知見をもとに、実際我々ティネクト(Books&Apps運営企業)が実行している全48タスクを公開します。
「成果を出す」オウンドメディア運営
5つのスキルと全48タスク
をプレゼント。
これからオウンドメディアをはじめる企業さま、現在運用中の企業さま全てにお役に立つ資料です。ぜひご活用ください。
資料ダウンロードページはこちら↓
https://tinect.jp/library/5skills48tasks/
メールアドレス宛てに資料が自動送信されます。
【著者プロフィール】
安達裕哉
元Deloitteコンサルタント/現ビジネスメディアBooks&Apps管理人/オウンドメディア支援のティネクト創業者/ 能力、企業、組織、マーケティング、マネジメント、生産性、知識労働、格差について。
◯Twitter:安達裕哉
◯Facebook:安達裕哉
◯有料noteでメディア運営・ライティングノウハウ発信中(webライターとメディア運営者の実践的教科書)