エンジニアHubproduced by エン

若手Webエンジニアのための情報メディア

IT企業のエンジニアがとりあえず知っておきたいGDPRの基礎知識

2018年、多くのIT企業が対応に追われたGDPRですが、その内容は非常に複雑です。本稿ではGDPRの概要と、「エンジニアが知っておくべき要点」を、ソフトウェアベンチャーなどで法務を担当するkataxさんに解説してもらいます。

2018年5月に適用が開始されたEUの規則「GDPR」。

本稿では、ウェブサービスに関する法知識を紐解く 『良いウェブサービスを支える「利用規約」の作り方』の執筆に携わられたkatax(@katax)さんが、ポイントを絞ってGDPRを解説します。合わせて、技術的・組織的措置(GDPR32条)への対応や同意取得のUI実装といった、Webエンジニアが気になる部分をQ&A方式で紹介していきます。

GDPRはじめの一歩

2018年に入ってから「GDPR」というキーワードを見かける機会が多くなってきました。 GDPR(General Data Protection Regulation:一般データ保護規則)は2018年の5月から適用が開始されたこともあり、EUの規則であるにもかかわらず、関連書籍が複数出版され、またウェブ上でもたくさんの解説記事が存在します。

一方でGDPRは、前文だけで173項目、条文本体も99条まであり、付随するガイドラインまで含めるとその内容は膨大です。そのため、GDPRの全体像を正確に理解することは簡単ではありません。そこで、本稿では、エンジニアの方を対象に、「これだけ知っておけば、はじめの一歩としては充分」という点に絞ってGDPRを解説することで、GDPRに対する不安を払拭するお手伝いをしようと思います。

なお、GDPRの詳細に興味がある方は、こちらの個人情報保護委員会によるGDPRの解説ページをのぞいてみてください。このページには、規則の日本語訳とガイドラインが掲載されていますので、ボリューム感を肌で感じていただけるのではないかと思います。

なぜEUのルールがこんなに話題になっているのか

このように、GDPRは膨大なルールであるため、適切に対応することは容易ではなく、コストも企業内の人的リソースもかなり取られることになるのです。が、EUでのビジネスに本腰を入れている企業は泣き言を言っているわけにはいきません。なにしろ、GDPRに違反してしまうと、その違反の内容に応じて、

  • 1000万ユーロまたは全世界売上高の2%のいずれか高額の方
  • 2000万ユーロまたは全世界売上高の4%のいずれか高額の方

上記金額を上限とした制裁金が課される可能性があるからです。 このような背景から、EUでビジネスを展開している企業は、GDPRが公開された後から順次対応を開始し、2018年5月の適用開始までに社内規程の整備やプライバシーポリシーの改訂など、さまざまな対応が進められてきました。

しかし、なぜ遠く離れたEUの規則を日本でも気にしなければならないのでしょうか。 EUにはGDPR以外にもさまざまなルールが存在するにもかかわらず、GDPRだけが遠く離れた日本においてもとりわけ話題になっているのには理由があります。

その理由とは、以下の2点です。

  • EUで事業を行っていない企業に対しても広く適用される可能性があるから
  • そして、GDPRは日本の個人情報保護法よりも厳格なルールを定めた規則であり、GDPRを意識せずに事業運営をしていると、ほぼ間違いなくGDPRに違反することになってしまうから

この2点こそが、GDPRが日本で大きな話題になっている理由なのです。ここからはそれぞれの理由について、もう少し詳しく見ていきましょう。

EUで事業を行っていない企業に対しても広く適用される可能性がある

実は、GDPRが定められる前から、EUは「EUデータ保護指令」というルールを定めていたのですが、このルールは、拠点や設備をEU内に設置していない場合にも適用されるかは明確ではありませんでした。

参考:総務省 EUデータ保護指令 仮訳PDF

これに対しGDPRは、EU域内に拠点を設置していない事業者であっても、

  1. EU域内のユーザーに対する商品やサービスの提供
  2. EU域内のユーザーの行動のモニタリング

に関連する個人データの処理についてはGDPRが適用されることが明記されています。 そして、店舗を設置するサービスと異なり、ウェブサービスやアプリケーションにとっては国境の壁は障害にはなりません。つまり国内で事業を展開している企業であってもGDPRの適用条件を満たす場合が、十分に考えられるのです。そのため、EUの規則だから日本の企業には無関係、とは言い切れないのです。

なお、1については、 EU域内ユーザーへのサービスや商品を提供する意図が明白であることが必要である旨がGDPRの前文第23項で示されています。そのため、単にEU域内のユーザーが利用できるというだけで該当することはありませんのでご安心ください。 読者の皆さんが気になるであろう、「EU域内ユーザーへのサービスや商品の提供意図」が明白と言えるかどうかの基準は、

  • EU加盟国で用いられている言語や通貨を用いて注文を行えるか
  • EU域内の利用者を想定した言及がなされているか

このように示されています。 そのため、日本円のみを決済通貨とし、日本語のみで提供されているサービスについては1の要件はクリアできると考えられます。 しかし、覚えておくべきは、「GDPRはユーザーを国籍ではなく所在で保護対象を決めている」という点です。つまり、「スペインに住む日本人の方には特別割引」や「ドイツ在住の方向けのプライバシーポリシーの特則」といった対応をすると、1の要件にヒットする可能性がある、という点には注意が必要です。

GDPRにおける「ユーザーの行動モニタリング」とは

さて、ここまで読んで 「ウチの会社はEU域内のユーザーにサービスや商品を提供する意図なんて持ち合わせていないし、EU域内のユーザーの行動モニタリングなんてことはしていない。ってことは、ウチの会社にはGDPRは関係ないんじゃないか」 と安心した方に残念なお知らせです。 GDPRの域外適用において注意すべきは、実は2の「モニタリング」の方なのです。

どのような行為がモニタリングに該当するかは、GDPRの前文の第24項において「情報主体に関する判断をする場合や、情報主体の個人的な嗜好、行動及び傾向を分析又は予測するためにインターネット上で追跡されているか」がポイントであるとされています。

少々分かりにくい表現なので例を出しましょう。ウェブサービスにおいてユーザーの行動からレコメンデーションを行うことは、ユーザビリティ向上のために一般的に行われているでしょう。他にも行動ターゲティング広告を掲出している場合には、広告を最適化するためにユーザーの行動分析をすることも一般的です。いずれの行為も対象がEU域内のユーザーであれば、前述の「EU域内のユーザーの行動のモニタリング」に該当する可能性が高くなります。

つまり、1については日本語のみで国内向けにサービス提供していれば基本的には適用を回避できる反面、2については、GDPRの適用回避を明確に意識していなければ、うっかり域外適用の要件を満たしてしまう可能性がかなり高いのです。

【要注意!】GDPRは個人情報保護法よりもルールが厳格

多くの方は、日本にもGDPRと同様に個人データの保護を目的とした法律である個人情報保護法(個人データの保護を目的とした個人情報の保護に関する法律)が存在していることはご存じだと思います。そして、日本の個人情報保護法に則った運用をしていれば、GDPRに対しても大部分は対応できているのではないか、という期待をお持ちかも知れません。

参考:「個人情報保護」のルール - 政府広報オンライン

しかし、GDPRは、基本的に個人情報保護法よりも厳格なルールを定めています。そのため、個人情報保護法に則って適法に事業運営をしていた場合にも、GDPRの基準は満たせないのが通常なのです。

例えば、個人情報保護法では公表または通知している利用目的の範囲内で個人情報を取り扱うことができますが、GDPRでは「GDPRにおいて定められた要件」に該当する場合以外は、個人データの取得・保管・分析・加工・廃棄等のあらゆる処理が認められません。

また、個人情報保護法では、利用目的の変更等において必要となる「本人の同意」について特段の方式の指定はありませんが、GDPRにおいて本人が同意したと認められる要件は非常に厳格であり、個人情報保護法と同様の感覚で取得した同意は有効な同意として認められない可能性が高いのです。 その他にも、一定の要件を満たす場合におけるDPO(Data Protection Officer)の選任義務や、DPIA(Data Protection Impact Assessment)の実施義務など、日本の個人情報保護法にはない仕組みも存在しています。 そのため、GDPRに対応するためには、日本の個人情報保護法だけでなく、GDPRにも準拠するための追加対応が必要になるのです。

GDPRが適用されるのにGDPRに対応しなくて良いのか

上述のように、多くの国内のウェブサービスやアプリケーションにはGDPRが適用される可能性が高いのですが、EU域内に拠点を置いていない事業者の多くは、GDPR対応が完了していないのでは、と思います。 中には、自社にGDPRが適用される可能性があるということに気づいていない、という場合もあるでしょう。

自社のサービスやアプリがGDPRの域外適用の要件に該当する可能性が高いことを認識した場合には、適法性の観点からは、すぐにGDPRに対応すべく準備し始めることが、最も安全な対応であることは間違いありません。しかし、対応作業はそう簡単なものではありません。 何しろ、GDPRに対応するためには社内規程やプライバシーポリシーの見直し、個人情報の管理体制の整備など膨大な作業が必要になってきます。加えて、そもそもGDPRに精通した専門家のアドバイスを受けようとすると、数百万円から、場合によっては軽く1000万円を超えるコストも想定され、企業にとっての負担がかなり大きいのです。

先述の「モニタリング」の要件を回避するために、EU域内からのアクセスをIPアドレス等で選別し、レコメンデーションやターゲティングを行わないようにしたり、場合によってはアクセス自体を遮断するという対応も考えられますし、海外の事業者では実際にそのような対応を行ったサービスも存在しています。しかし、EU域内のユーザーをターゲットにしていないサービスにおいて、そのようなケアをするという判断自体が合理的かは、立ち止まって考える必要があるでしょう。

そもそもGDPRはEUの規則であるというのがスタート地点です。GDPRに定められた域外適用条件に多くのサービスが該当するであろうことが判明するにつれ、高額な制裁金の定めも相まって、「GDPRに対応しないとまずい」というムードが急速に醸成されました。リスクに対する認識が高まる一方で、そもそもEU内に拠点を持たず、またEU域内のユーザーがそれほど多くないサービスについては、仮にGDPRの域外適用の要件に該当していたとしても「GDPR違反の責任を問われる可能性は、実務上高いとはいえない」と指摘する専門家の意見も存在します。

他方で、EU域内のユーザーをターゲットにしているサービスやアプリを提供している事業者は、ユーザーを識別できる情報を収集していないような特殊なケースを除いて、GDPRを無視するのは大きな事業上のリスクです。こうしたケースではGDPRに関する書籍を執筆していたり、セミナーを開催している弁護士へ相談し、実務上のリスクを見積もってもらうことをおすすめします。リスク見積もりの相談であれば、多額の費用はかからないでしょう。

なお、GDPR対応を支援するソリューションベンダー等は無料で事前相談を受け付けてくれますが、「GDPR対応の必要なし」という結論を出すインセンティブが薄く、また、前述の通りGDPRの適用条件に該当するケースは少なくないので、GDPRに対応するということが決まってからコンタクトすることをおすすめします。

GDPRに関するよくある疑問

ここまでは、GDPRの基礎的な概念と、企業が把握しておくべきリスクを駆け足で説明してきました。が、サービスなどを作るエンジニアの皆さんであれば、もっと「実務に即したGDPRへの対応」が知りたいとお考えでしょう。ここからは、より実務を想定したGDPRへの対応方針を、Q&Aの形でお伝えしたいと思います。

GDPRに違反すると、必ず巨額の制裁金が課される?

Q:GDPRに違反した場合に巨額の制裁金が課される可能性があるという点が取り沙汰されていますが、GDPRに違反した場合は、必ず巨額の制裁金を支払わなければならないのでしょうか?

A:いいえ、GDPRに違反したからといって、必ずしも巨額の制裁金の支払い義務が生じるわけではありません。 GDPR前文の第148項には「軽微な違反行為については制裁金の代わりに注意処分を行うことができる」と定められており、そもそも注意処分で済む場合があることは当然に予定されています。さらに、制裁金の具体的な金額は、違反の性質や事後的な対応、違反の影響などを考慮して決定される旨がGDPR第83条2項において定められており、一律に1000万ユーロや売上高の2%といった上限の制裁金が常に課されるわけでもありません。 もっとも、GDPR第83条1項には制裁金を効果的かつ抑止力のあるものにすることが定められているため、制度の趣旨から言えば至極当然ではありますが、制裁金が「痛くも痒くもない金額」といった程度に留まることは期待できないでしょう。

技術的保護措置として、どのような対応が必要?

Q:仮にGDPRに対応するとして、エンジニアは「技術的保護措置」への対応を担当することになると思いますが、具体的にどのような対応が必要なのでしょうか?

A:GDPR32条1項は、リスクに見合った技術的措置を実施することを義務付けており、その具体的な内容として、以下の措置を定めています。

  • 個人データの仮名化・暗号化
  • 機密性、完全性、可用性及び障害抵抗性(レジリエンス)の確保
  • インシデント発生時の個人データへのアクセス復旧能力
  • 保護措置の有効性を確認するための定期的なテストや評価の手順

なお、上記はあくまで例示なので、これ以外にも

  • 充分に強固なパスワードの設定及び適切な管理や二段階認証等による認証管理
  • 個人データへアクセスできるアカウント及び端末の限定
  • インシデントの発生を調査・探知するためのログの取得、管理及び監視
  • 不正アクセスを遮断するためのファイヤーウォールの設定、アクセス可能な端末の限定
  • OS・アプリケーションのセキュリティパッチ適用
  • 不要になったデータ、保存期間が終了したデータの破棄
  • 物理サーバの設置場所の入退室管理

といった対応が必要になると考えられます。

GDPRに対応するために“最初に”やるべきことはなに?

Q:GDPRに対応することになった場合、具体的にはどこから着手すればよいのでしょうか?

A:一般的には、GDPRに対応する必要が生じた場合にはデータマッピング、すなわち社内に存在するEU域内ユーザーの個人データがどこに保存され、どのように管理され、どのように処理されているかの棚卸しを行うことが対応の第一歩とされています。 しかし、実務上は、GDPR対応としていきなりデータマッピングから始めることはあまり得策ではありません。

では、何から着手すべきかというと、それは「会社の経営陣にGDPR対応の必要性を理解してもらい、対応を進めるよう全社的な号令を出してもらうこと」です。 GDPR対応は社内のさまざまな部署に高い負荷をかけるタスクです。そのようなタスクを情シス部門や、場合によっては主担当者の思いだけで進めていくことは非常に困難です。また、専門家のアドバイスを得ずにGDPR対応を進めることは現実的ではなく、仮に頑張って対応したとしても必ずどこかに穴が残ってしまう可能性が高いです。一定のコストをかけてでも、専門家のアドバイスが不可欠です。そのため、しっかり経営陣からの後押しを受け、組織一丸となったGDPR対応体制を構築することを目指してください。

「ユーザーからの同意」はどのように実装するべきか?

Q:GDPRでは日本の個人情報保護法よりも「同意」を明確に取らなければならないと聞いたのですが、具体的にはどのように同意取得のUIを実装すればGDPR上適切な同意と認められるのでしょうか?

A:日本の個人情報保護法では「同意」の方式は特に定められていません。このことから、「同意する」チェックボックスに最初からチェックを入れておいたり、サービスの利用を開始した場合は同意したものとみなす、といったみなし同意が多用されています。 これに対し、GDPRでは、「自由意志に基づいて任意で行われた」「特定され」「情報提供を受けた上での」「明確な」同意であることが求められています。各要素の注意点を以下に記載します。

  • 任意性

    • 一例として、同意しなければサービスを利用できない、という作りにしてしまうと「自由に与えられた同意ではない」とされる可能性があります。また、雇い主が従業員から同意を取得するようなケースでは、構造的に同意の任意性を期待できないため、適切な同意を得たと言えないのが原則であると考えられています。
  • 特定性

    • こちらも一例を挙げると、あらゆる個人データの目的外利用について、一括で同意を得るような作りにしてしまうと、特定されていないと見なされる可能性があります。 目的外利用をユーザーの同意に依拠して行う場合には、目的ごとに個別に同意を取得する必要があります。
  • 情報提供

    • 管理者の身元、個人データの処理の目的、収集・利用するデータの項目、同意を撤回できること、といった情報を提供する必要があります。 日本の個人情報保護法を前提とするプライバシーポリシーでは「同意を撤回できること」に触れているケースはほとんどないという点には特に注意が必要です。
  • 明確性

    • 同意の意思が明確でない場合、具体的には同意の意思を確認するチェックボックスにデフォルトでチェックが入っている場合や、利用規約の一部に同意する旨を定めておいて、利用規約全体に同意をとったことをもってGDPR上の同意とする場合などは、明確性が否定される可能性があります。

上記注意点に加え、「同意を得ており、それが撤回されていない」ことを証明できるよう、適切にログを管理することも重要です。

十分性認定によってGDPR対応は不要になる?

Q:EUが日本に対して「十分性認定*1」を行うことで合意したとのニュースを読んだのですが、日本が十分性認定を受けることになったらGDPR対応は不要になるのでしょうか?

A:いいえ、十分性認定でGDPR対応が不要になるということはありません。 GDPRは一定の要件を満たさないとEU域外へのEU市民の個人情報の持ち出してはならないという制限を設けているのですが、この「一定の要件」の一つに、「移転先の国が十分性認定を受けている」という要件があるのです。つまり、日本が十分性認定を受けた場合、EU域内の事業者が日本にGDPRの適用を受けている個人データを持ち出しても、GDPR違反にならないというのが十分性認定の効果です。 逆に言えば、十分性認定の効果としてはGDPRが定めるさまざまな義務のうちの域外移転の制限をクリアできるだけのものにすぎず、その他のGDPR上の義務については十分性認定を受けた後も対応する必要は依然としてあるのです。

なお、十分性認定を受けなくても、EU域内の移転元とEU域外の移転先との間で所定の内容の契約(SCC/SDPC)を締結するなどの方法で個人情報の移転は可能であること、そして、十分性認定はEUによって取り消される可能性もあることから、十分性認定だけに依拠するのは危険であるという点は、エンジニアの皆さんにも覚えていただきたい情報です。

GDPRがカバーしているのはEU?EEA?

Q:GDPRに関する記事を読むと、「EU域内」と言っているものと、「EEA域内」と言っているものが混在しています。どうしてこのような差があるのでしょうか?

A:EEA(European Economic Area)とは、EUに、アイスランド、リヒテンシュタイン、ノルウェーの3カ国を加えた枠組みです。 GDPRはEUの規則なので、上記の3カ国には直接適用はされないのですが、この3カ国は各国独自の対応としてGDPRと同内容の法律を制定しており、実質、EEA域内がGDPRのカバーエリアになっています。 なお、本稿では「EU」の方が「EEA」よりもなじみ深いという理由から、「EU域内」という表現を採用していますが、上記の通りアイスランド、リヒテンシュタイン、ノルウェーのユーザーの個人データについても本稿の内容は当てはまります。

まとめ

GDPRは、適用されることを前提にした「高額な制裁金」や「広範な義務」の存在が注目されることが多く、そもそもEUでビジネスを展開していない国内企業にも適用されるのかという点については見過ごされがちでした。 本稿が、GDPRはEUの規則であるという出発点に立ち返り、過度に恐れず、また、完全に無視するようなこともない、GDPRとの適切な距離感を持つきっかけになれば幸いです。

katax@katax

katax
SIer、移動体通信キャリア、ソフトウェアベンチャーなどで法務を担当。< br> 趣味でiOS向けアプリの開発も行いつつ、エンジニアと法務の架け橋になることを目指して日々鍛錬中。著書(共著)に『良いウェブサービスを支える「利用規約」の作り方(刊:技術評論社)』がある。

関連記事

*1:EU域内の個人データが移転する際、移転先の国・地域の個人データ保護の水準がEUと同等と判断された場合は、域外への移転が認められるという認定。