IT企業のエンジニアがとりあえず知っておきたいGDPRの基礎知識

2018年、多くのIT企業が対応に追われたGDPRですが、その内容は非常に複雑です。本稿ではGDPRの概要と、「エンジニアが知っておくべき要点」を、ソフトウェアベンチャーなどで法務を担当するkataxさんに解説してもらいます。

IT企業のエンジニアがとりあえず知っておきたいGDPRの基礎知識

2018年5月に適用が開始されたEUの規則「GDPR」。

本稿では、ウェブサービスに関する法知識を紐解く 『良いウェブサービスを支える「利用規約」の作り方』の執筆に携わられたkatax(@katax)さんが、ポイントを絞ってGDPRを解説します。合わせて、技術的・組織的措置(GDPR32条)への対応や同意取得のUI実装といった、Webエンジニアが気になる部分をQ&A方式で紹介していきます。

GDPRはじめの一歩

2018年に入ってから「GDPR」というキーワードを見かける機会が多くなってきました。 GDPR(General Data Protection Regulation:一般データ保護規則)は2018年の5月から適用が開始されたこともあり、EUの規則であるにもかかわらず、関連書籍が複数出版され、またウェブ上でもたくさんの解説記事が存在します。

一方でGDPRは、前文だけで173項目、条文本体も99条まであり、付随するガイドラインまで含めるとその内容は膨大です。そのため、GDPRの全体像を正確に理解することは簡単ではありません。そこで、本稿では、エンジニアの方を対象に、「これだけ知っておけば、はじめの一歩としては充分」という点に絞ってGDPRを解説することで、GDPRに対する不安を払拭するお手伝いをしようと思います。

なお、GDPRの詳細に興味がある方は、こちらの個人情報保護委員会によるGDPRの解説ページをのぞいてみてください。このページには、規則の日本語訳とガイドラインが掲載されていますので、ボリューム感を肌で感じていただけるのではないかと思います。

なぜEUのルールがこんなに話題になっているのか

このように、GDPRは膨大なルールであるため、適切に対応することは容易ではなく、コストも企業内の人的リソースもかなり取られることになるのです。が、EUでのビジネスに本腰を入れている企業は泣き言を言っているわけにはいきません。なにしろ、GDPRに違反してしまうと、その違反の内容に応じて、

  • 1000万ユーロまたは全世界売上高の2%のいずれか高額の方
  • 2000万ユーロまたは全世界売上高の4%のいずれか高額の方

上記金額を上限とした制裁金が課される可能性があるからです。 このような背景から、EUでビジネスを展開している企業は、GDPRが公開された後から順次対応を開始し、2018年5月の適用開始までに社内規程の整備やプライバシーポリシーの改訂など、さまざまな対応が進められてきました。

しかし、なぜ遠く離れたEUの規則を日本でも気にしなければならないのでしょうか。 EUにはGDPR以外にもさまざまなルールが存在するにもかかわらず、GDPRだけが遠く離れた日本においてもとりわけ話題になっているのには理由があります。

その理由とは、以下の2点です。

  • EUで事業を行っていない企業に対しても広く適用される可能性があるから
  • そして、GDPRは日本の個人情報保護法よりも厳格なルールを定めた規則であり、GDPRを意識せずに事業運営をしていると、ほぼ間違いなくGDPRに違反することになってしまうから

この2点こそが、GDPRが日本で大きな話題になっている理由なのです。ここからはそれぞれの理由について、もう少し詳しく見ていきましょう。

EUで事業を行っていない企業に対しても広く適用される可能性がある

実は、GDPRが定められる前から、EUは「EUデータ保護指令」というルールを定めていたのですが、このルールは、拠点や設備をEU内に設置していない場合にも適用されるかは明確ではありませんでした。

参考:総務省 EUデータ保護指令 仮訳PDF

これに対しGDPRは、EU域内に拠点を設置していない事業者であっても、

  1. EU域内のユーザーに対する商品やサービスの提供
  2. EU域内のユーザーの行動のモニタリング

に関連する個人データの処理についてはGDPRが適用されることが明記されています。 そして、店舗を設置するサービスと異なり、ウェブサービスやアプリケーションにとっては国境の壁は障害にはなりません。つまり国内で事業を展開している企業であってもGDPRの適用条件を満たす場合が、十分に考えられるのです。そのため、EUの規則だから日本の企業には無関係、とは言い切れないのです。

なお、1については、 EU域内ユーザーへのサービスや商品を提供する意図が明白であることが必要である旨がGDPRの前文第23項で示されています。そのため、単にEU域内のユーザーが利用できるというだけで該当することはありませんのでご安心ください。 読者の皆さんが気になるであろう、「EU域内ユーザーへのサービスや商品の提供意図」が明白と言えるかどうかの基準は、

  • EU加盟国で用いられている言語や通貨を用いて注文を行えるか
  • EU域内の利用者を想定した言及がなされているか

このように示されています。 そのため、日本円のみを決済通貨とし、日本語のみで提供されているサービスについては1の要件はクリアできると考えられます。 しかし、覚えておくべきは、「GDPRはユーザーを国籍ではなく所在で保護対象を決めている」という点です。つまり、「スペインに住む日本人の方には特別割引」や「ドイツ在住の方向けのプライバシーポリシーの特則」といった対応をすると、1の要件にヒットする可能性がある、という点には注意が必要です。

GDPRにおける「ユーザーの行動モニタリング」とは

さて、ここまで読んで 「ウチの会社はEU域内のユーザーにサービスや商品を提供する意図なんて持ち合わせていないし、EU域内のユーザーの行動モニタリングなんてことはしていない。ってことは、ウチの会社にはGDPRは関係ないんじゃないか」 と安心した方に残念なお知らせです。 GDPRの域外適用において注意すべきは、実は2の「モニタリング」の方なのです。

どのような行為がモニタリングに該当するかは、GDPRの前文の第24項において「情報主体に関する判断をする場合や、情報主体の個人的な嗜好、行動及び傾向を分析又は予測するためにインターネット上で追跡されているか」がポイントであるとされています。

少々分かりにくい表現なので例を出しましょう。ウェブサービスにおいてユーザーの行動からレコメンデーションを行うことは、ユーザビリティ向上のために一般的に行われているでしょう。他にも行動ターゲティング広告を掲出している場合には、広告を最適化するためにユーザーの行動分析をすることも一般的です。いずれの行為も対象がEU域内のユーザーであれば、前述の「EU域内のユーザーの行動のモニタリング」に該当する可能性が高くなります。

つまり、1については日本語のみで国内向けにサービス提供していれば基本的には適用を回避できる反面、2については、GDPRの適用回避を明確に意識していなければ、うっかり域外適用の要件を満たしてしまう可能性がかなり高いのです。

【要注意!】GDPRは個人情報保護法よりもルールが厳格

多くの方は、日本にもGDPRと同様に個人データの保護を目的とした法律である個人情報保護法(個人データの保護を目的とした個人情報の保護に関する法律)が存在していることはご存じだと思います。そして、日本の個人情報保護法に則った運用をしていれば、GDPRに対しても大部分は対応できているのではないか、という期待をお持ちかも知れません。

参考:「個人情報保護」のルール - 政府広報オンライン

しかし、GDPRは、基本的に個人情報保護法よりも厳格なルールを定めています。そのため、個人情報保護法に則って適法に事業運営をしていた場合にも、GDPRの基準は満たせないのが通常なのです。

例えば、個人情報保護法では公表または通知している利用目的の範囲内で個人情報を取り扱うことができますが、GDPRでは「GDPRにおいて定められた要件」に該当する場合以外は、個人データの取得・保管・分析・加工・廃棄等のあらゆる処理が認められません。

また、個人情報保護法では、利用目的の変更等において必要となる「本人の同意」について特段の方式の指定はありませんが、GDPRにおいて本人が同意したと認められる要件は非常に厳格であり、個人情報保護法と同様の感覚で取得した同意は有効な同意として認められない可能性が高いのです。 その他にも、一定の要件を満たす場合におけるDPO(Data Protection Officer)の選任義務や、DPIA(Data Protection Impact Assessment)の実施義務など、日本の個人情報保護法にはない仕組みも存在しています。 そのため、GDPRに対応するためには、日本の個人情報保護法だけでなく、GDPRにも準拠するための追加対応が必要になるのです。

GDPRが適用されるのにGDPRに対応しなくて良いのか

上述のように、多くの国内のウェブサービスやアプリケーションにはGDPRが適用される可能性が高いのですが、EU域内に拠点を置いていない事業者の多くは、GDPR対応が完了していないのでは、と思います。 中には、自社にGDPRが適用される可能性があるということに気づいていない、という場合もあるでしょう。

自社のサービスやアプリがGDPRの域外適用の要件に該当する可能性が高いことを認識した場合には、適法性の観点からは、すぐにGDPRに対応すべく準備し始めることが、最も安全な対応であることは間違いありません。しかし、対応作業はそう簡単なものではありません。 何しろ、GDPRに対応するためには社内規程やプライバシーポリシーの見直し、個人情報の管理体制の整備など膨大な作業が必要になってきます。加えて、そもそもGDPRに精通した専門家のアドバイスを受けようとすると、数百万円から、場合によっては軽く1000万円を超えるコストも想定され、企業にとっての負担がかなり大きいのです。

先述の「モニタリング」の要件を回避するために、EU域内からのアクセスをIPアドレス等で選別し、レコメンデーションやターゲティングを行わないようにしたり、場合によってはアクセス自体を遮断するという対応も考えられますし、海外の事業者では実際にそのような対応を行ったサービスも存在しています。しかし、EU域内のユーザーをターゲットにしていないサービスにおいて、そのようなケアをするという判断自体が合理的かは、立ち止まって考える必要があるでしょう。

そもそもGDPRはEUの規則であるというのがスタート地点です。GDPRに定められた域外適用条件に多くのサービスが該当するであろうことが判明するにつれ、高額な制裁金の定めも相まって、「GDPRに対応しないとまずい」というムードが急速に醸成されました。リスクに対する認識が高まる一方で、そもそもEU内に拠点を持たず、またEU域内のユーザーがそれほど多くないサービスについては、仮にGDPRの域外適用の要件に該当していたとしても「GDPR違反の責任を問われる可能性は、実務上高いとはいえない」と指摘する専門家の意見も存在します。

他方で、EU域内のユーザーをターゲットにしているサービスやアプリを提供している事業者は、ユーザーを識別できる情報を収集していないような特殊なケースを除いて、GDPRを無視するのは大きな事業上のリスクです。こうしたケースではGDPRに関する書籍を執筆していたり、セミナーを開催している弁護士へ相談し、実務上のリスクを見積もってもらうことをおすすめします。リスク見積もりの相談であれば、多額の費用はかからないでしょう。

なお、GDPR対応を支援するソリューションベンダー等は無料で事前相談を受け付けてくれますが、「GDPR対応の必要なし」という結論を出すインセンティブが薄く、また、前述の通りGDPRの適用条件に該当するケースは少なくないので、GDPRに対応するということが決まってからコンタクトすることをおすすめします。

GDPRに関するよくある疑問

エンジニアHubに会員登録すると
続きをお読みいただけます(無料)。
登録のメリット
  • すべての過去記事を読める
  • 過去のウェビナー動画を
    視聴できる
  • 企業やエージェントから
    スカウトが届く