「一般データ保護規則(GDPR)に関する重 要なお知らせ」のメール
2018年4月19日、googleさんからメールが来ました。
件名は「一般データ保護規則(GDPR)に関する重
「・・・これは3月23日付けのお知らせの翻訳版です。」ということなのですが、そんなメール来てたっけ?
確認してたら確かに3月23日に来てました、英語で。いちおう開封してたみたいですが全然記憶にありませんねぇ。
どうやらワタシの「英語なんてわかりません」バリアーに弾き飛ばされていたようです・・・
今回のメールは日本語です。なので、ちゃんと読みました。
何かEU(ヨーロッパ)で施行される個人情報保護の法律に対応しますよ~ってことのようですね。
一般データ保護規則(GDPR)とは何ですか?
一般データ保護規則って何なんでしょうか?
とりあえずWikipedia読みました。でも、難しく書かれ過ぎです。こんなんじゃわかりません!プンプン!
ググって調べて、簡単にポイントをまとめてみました。
GDPRのポイントは?
・欧州経済領域(EEA)域内での個人情報を保護するための法律です。
(EEA:EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー:2018年4月22日現在、イギリスを含みます)
・EEA域内にて2018年5月25日に施行される新しい個人情報保護法です。
・施行後はGDPRが共通のルールとなります。今までは各国がバラバラの法律で個人情報保護を行ってたけど、各国法は廃止されます。
(2019年3月にEU脱退予定のイギリスはGDPRに代わる独自法制定の準備をしているようです。)
・個々人の行動を縛るためのものではなく、基本的には組織や企業が遵守すべき法律です。
・保護される対象は、EEA域内で取得された個人情報です。旅行や出張で訪れているEEA以外の国の人の個人情報でもEEA域内で取得された場合は保護対象となります。
・EEA以外の国の企業・組織でも、EEA域内に住む人のデータを取得・保持していればこの法律の対象となります。
・罰則が強化されます。罰金がビックリするほど高額です。会社が潰れるレベルの高さです。
・個人情報の範囲や取得・管理ルールが今まで以上に厳しくなります。
・EEA域内で取得された個人情報の域外への移転は原則禁止です。
・保護対象の個々人は企業・組織に対して個人データの消去を請求することができるようになります。つまり「忘れられる権利」を与えられます。
でもこのGDPR、条約でもないのにどうして第三国の企業活動を制限したり罰金を科したりできるんでしょうか?個別に契約でもするんでしょうか?調べたかぎりではそこんとこ良く分かりませんでした。
GDPRの影響は?
企業・組織の規模の大小に関わりなく、EEA諸国と商品や人員、データのやり取りがある場合は注意が必要なようです。(ただし従業員が250人未満の企業・組織は、データ処理行為の記録義務に関しては免除されるようです。)
EEA域内の国々と取引があったり、支社があったりするような大企業じゃないと関係なさそうな気がしますよね。でも、ネットで世界中がつながってる現代では、小さな企業でも外国と商品のやり取りすることはあります。
日本の企業でも、EEA域内に住む人のデータを取得・保持していればこの法律の対象となるようです。BtoCとかなら中小零細企業でもEEA域内の個人と取引する場合もあるんじゃないでしょうか。そうすると必然的に住所氏名やメールアドレスなんかを取得することになり、GDPRの対象ということになります。
旅行業なら確実に取引あるでしょうねぇ。小さな宿とかでも欧州からの旅行者と直接予約のやり取りとかあると思うんですが・・・。
GDPR施行にむけて、旅行業界はドタバタしてるんでしょうか?ちょっと気になります。
(そのうち「クローズアップ現代」なんかで特集されるかも、「EUの個人情報保護法強化で揺れる旅行業界」とか・・・ただの想像ですけど。)
GDPRへの対策は?(中小零細企業の場合)
もちろん、大企業さんは関連部署を設置して早くから対策してるでしょう。
じゃあ、GDPRに関係あるのにまだ準備できてないような小さな会社はどうすればいいんでしょうか?
吹けば飛ぶような会社に勤めているオクラの経験から言わしてもらいますと~、
コンサルに頼みなさい!
もうこれしか無いです。
Pマーク取得にちょっとからんだ経験があるんですが、小さなワタシの会社でもコンサルティング会社に依頼しました。中小企業こそコンサル入れないと無理です。
まず、いきなり未知の領域の事を勉強して社内整備できるような人員がいません。そして担当者は100%通常業務との兼任になるので、時間的・精神的にキツイです。
コンサルさんは文書や手順のフォーマットを持っているので、だいたい自分とこの会社の業務内容をそれにあてはめていけばOKな感じになってます。なので、スピーディーかつ確実に仕組みが構築できます。
あとコンサルさんと責任が分担できるので(うまくいかなかったらコンサルさんのせいにできる!)、担当者は精神的にラクです。
もし運悪く「GDPR対応委員」とかに任命されそうになったら、「コンサル使わなきゃヤダ!」バリアーで防御しましょう。
一般データ保護規則(GDPR)の罰金は超高額!
GDPRの罰金、むちゃくちゃ高いです。会社の存続に関わるレベルの高額さです。
会社倒産レベルの罰金が科せられる可能性も
処罰
以下の処罰が課されうる:・初回かつ意図的でない違反の場合は、書面による警告
・規則に基づく定期的なデータ保護監査
・企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料 (第83条4項)
・企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料 (第83条5項および6項)<Wikipedia EU一般データ保護規則 より抜粋、マーカはオクラによる>
罰則、2000万ユーロ!
1ユーロ=130円換算で、
26億円です!
全世界売り上げ高の4%って言うのも、むちゃくちゃ高率ですよ。企業によっては利益が吹き飛びます。利益率4%も無い企業もけっこうありますよ(総合商社とかだいたい2%ぐらいだし)。
そして、むちゃくちゃ高額になりますよ。世界的な企業なら売上高数兆円以上ありますからねぇ。
例えば世界第3位のスマホメーカー、中国のファーウェイは2017年の売上高が10兆円あります。
第83条4項に対する罰則適用なら→2000億円
第83条5項および6に対する罰則適用なら→4000億円
ひえ~、ヨ、ヨ、4000億円!
もちろんこれは上限で、いきなりこんな高額な罰金が科せられるわけではありません。
違反の内容や重要度、悪質度、影響などを考慮して段階的に処罰が決められることになるでしょう。
GDPRの罰金が超高額なのは理由がある!?
でも、EUの官僚さんたちが罰金を超高額にしたのは意味があるんでしょうね、きっと。
個人情報保護は大義名分でホントは「個人情報の集合=ビッグデータ」をEU域内に囲い込んでおきたいからじゃないでしょうか。ビックデータの他国への流出は経済的損失につながり、また安全保障上の脅威にもなるという考えも大いにあると思います。
人権やらプライバシーを無視して自国民のビッグデータを集めまくってる、中国さんに対する牽制でもあるんでしょう。EUの個人情報はEUのもんだぞ~、ということでしょうか。
ちなみに中国さんは2017年6月1日「サイバーセキュリティ法」という法律を施行しています。これは中国国内での個人情報の収集・保護に関する法律で、この法律もビッグデータの囲い込みという目的があると考えられます。
日本でも「改正個人情報保護法」が2017年5月30日より施行されてます。こちらは、個人情報の適正な利用を目ざした改正のようです。グローバル化への対応やビッグデータへの活用が考慮されているようですね。罰則は6ヶ月以下の懲役または30万円以下の罰金です。罰金はショボいけど、懲役刑がヤダ・・・。
他にもいろんな国で個人情報保護法の改正が実施または予定されています。世界的な流れのようです。
googleさんとGDPRの関係
googleアナリティクスの「データ保持」の新設定は、GDPR対応のため
googleさんとGDPR、ワタシたちと直接関係ありそうなのはメールの以下の部分です。
サービスでの変更
Google は一般データ保護規則を遵守し、お客様がこの規則を遵守できるようにサポートするため、次の取り組みを行います。
・パーソナライズド広告以外の広告を表示するサイト運営者またはパブリッシャーをサポートするためのソリューションを提供します。
・お客様のサイトやアプリで欧州経済地域のユーザーを対象に広告の配信と測定を実施する第三者を選択できるよう、DFP や AdX のプログラマティック トランザクション、コンテンツ向け AdSense、ゲーム向け AdSense、および AdMob を対象に新しい設定を提供します。これらのツールについては、今後数週間以内に詳しい情報をお送りいたします。
・一般データ保護規則に基づいて加盟各国で個別に定められた年齢に満たない子供の個人情報の収集を制限するために、必要な措置を講じます。
・Google アナリティクスをご利用のお客様がデータの保持と削除を管理できるよう新しい設定を提供します。
・IAB Europe などの業界団体との連携を含め、サイト運営者またはパブリッシャーのための同意に関するソリューションについて検討します。(メール内容を抜粋、マーカはオクラが引きました)
なるほど~アレは、GDPRのせいだったのね!
アレというのは、
4月の12日頃に突然googleアナリティクスの上部に青いバーとともに現われて世間を騒がせた謎のメッセージ、
「We've recently launched new Data Retention controls that may affect your data starting May 25, 2018. Please review your settings and make any changes required. Learn more」
のことです。
謎のメッセージの原因となったのはGDPRだったのかぁ。Google アナリティクスで「データ保持」の設定が新しくなって、個人情報関連の削除期間を管理できるようになったのはGDPRへの対応というこだったんですね。
※関連記事:アナリティクスのデータ保持期間に関する新設定です。
関連記事 [pagelink id=3683]
googleアナリティクス、データ保持の新しい設定はGDPRへの対応
※記事内容に理解不足による誤解があったようですので大幅に書き換えました。 ※特別な理由のない限り、基本的に「データ保持」の設定はデフォルトのままにしておくのが安全で行儀のよい状態となります。 <201 ...
今後もgoogleサービス関連の設定変更がある
メールには「サービスでの変更」ということで他にも新しい設定が提供されるようなことが書かれています。日本のわたしたちには直接関係無いような気がしますが、グローバルな超巨大企業のgoogleさんはもちろん対応しないといけないんでしょう。
なんかAdSenseに関する記述もあるので、気になる人も多いのではないでしょうか?
また謎のメッセージが現われたりするのかな。英語のメールとか来たりするんでしょうか?要注意です。
とりあえず5月25日までは「英語なんてわかりません」バリアーは解除しておきますか。
(もちろん、バリアーを解除したから英語が分かるようになるわけではございません・・・google翻訳さん、お願いしますね!)
※関連記事:またまたGDPR関連の新メッセージが、「データ処理の修正条項」に同意は必要?
関連記事 [pagelink id=4025]
googleアナリティクスの青いバー、データ処理に関する修正条項って?
googleアナリティクスに謎の青いメッセージバーが・・・ 2018年4月28日、googleアナリティクスを見てみると、上部に謎のメッセージが・・・ 青いバーとともに表示されてました。最近こんなの多 ...
(注:筆者は法律の専門家ではありません。記事内容は筆者が個人的にネットにて調査し、理解した範囲にもとづくものです。GDPRの対象であるか等まで含め、正確な判断が必要な場合は専門家へご相談ください。)