アドバイザリー
GDPRコラム

第13回 インターネットサービス企業でのGDPR対応の進め方

2018.03.13

前回までのコラムでは、グローバル企業におけるGDPR対応の進め方や、規程の整備、個人データ侵害時の当局報告等、一連のトピックをご紹介してきました。今回は、全世界に拠点があるようなグローバル企業ではなく、EU域内に拠点や子会社を持っていなくても、GDPR適用対象となるようなインターネットサービス企業のケースをご紹介いたします。


1.インターネットサービス企業におけるGDPRの適用範囲

本コラムの第2回でも触れた内容となりますが、GDPR第3条2項では、その適用範囲について以下のように定めています。

第3条 地理的範囲

  1. 本規則は、EU域内に拠点のない管理者又は取扱者によるEU 在住のデータ主体の個人データ の取扱いに適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる。
    1. EU在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない。
    2. EU 域内で行われるデータ主体の行動の監視に関する取扱い。

これはEU域外の企業であっても、EU市民に向けて金銭の支払いの有無に関わらず、何らかのサービス提供やモニタリングを行う場合には、GDPRの適用対象となることを示すものです。例えば、ECサイトであれば、EU域内の国・言語及び現地通貨での決済に対応している、もしくは配送可能地域にEU加盟国が含まれる等のケース、ゲーム会社であれば、App Store、Google Play等の配信地域にEU加盟国が含まれるようなケースがこれに該当します。

他にも、第3回で述べたように、GDPRではCookieやオンラインのユーザー識別子(ユーザID等)のように、日本の国内法においては単独で個人情報とみなしていない情報も保護の対象としているため、企業がホームページ上でアクセス者のCookie情報を取得するだけでも、GDPRの適用対象となる可能性が考えられます。

逆に、GDPRの適用対象と判断しなくてもよいケースとしては、例えば日本国内向けに展開しているサービスを日本語が理解できるEU域内居住者やEUから来た訪日観光客が利用するケースが挙げられます。この場合、当該サービスは、EU域外で使用されているローカル言語にのみ対応したサービスであり、GDPR第3条2項で定める「EU 在住のデータ主体に対する商品又はサービスの提供」には該当せず、GDPRの適用対象外であるという整理が可能です。

このように、企業は従来よりも視野を広げて、GDPRの適用有無を正確に判断しなくてはなりません。


2.インターネットサービス企業における対応の流れ

続いて、インターネットサービス企業におけるGDPR対応の概要を見ていきます。基本的なアプローチは、本コラムでこれまでご紹介してきた内容と変わりませんので、過去のコラムの該当箇所を参照しながらインターネットサービス企業における対応の流れを以下に記載します。

フェーズ 主な対応内容
準備フェーズ
  • プロジェクトメンバーの体制整備(第8回参照
  • 個人データ保持状況の調査(第9回参照
  • 各種論点への対応方針の決定
対応フェーズ
  • 社内のポリシー及び規程の整備(第11回参照
  • 代理人の選定
  • データ侵害発生時の連絡体制及び対応マニュアルの整備(第12回参照
  • DPOの選定、または選定を不要とした経緯の文書化
  • 個人情報の取得にあたっての同意文書の更新
  • 個人データの取扱フロー、セキュリティ対策及び管理体制の見直し
  • 個人データを取扱わせる委託先との契約条項の見直し及び覚書の締結
  • データ主体の権利への対応に関するマニュアル等の整備
  • 域外移転への対応(第10回参照
  • データ保護影響評価(DPIA)への対応
運用フェーズ
  • ルールに則った運用の実施とその点検及び評価・改善の実施

グローバル企業における対応の流れと一つ大きく異なる点として、代理人の選定に関する対応が挙げられます。GDPR第27条では、前述の第3条2項が適用されるEU域外の事業者に対して、EU域内のデータ主体が在住し、個人データの処理を行う又は個人データの監視を行う国の一つに代理人を置くことを定めています。代理人については、第6回第7回でご紹介したDPOほど厳格な要件は定められていませんが、企業とともに、または企業に代わって、データ主体や監督機関の対応にあたる立場であることが示されています。


3.インターネットサービス企業が注意すべきこと

ここまで、EU域内に拠点が無いものの、GDPRの対象となるケースとして、インターネットサービス企業を例に適用範囲やGDPR対応のポイントについて解説しました。インターネットサービス企業のような先進的なサービスを提供する企業では、事業の展開スピードやビジネス環境の変化が非常に早いことが多く、リスクマネジメント体制の構築やその運用が後手に回ってしまうケースが見られます。GDPRによる制裁を科された場合の非常に高額な制裁金やユーザーからの信用低下リスクを考えた場合、今後そのような対応を許容することは、事業の継続に対して非常に高いリスクを抱えることになると言えるでしょう。GDPRのような規制対応を検討する際には、自社の事業の方向性や展望をあらかじめ踏まえた上で、規制違反のリスクと比較して、どのような対応を行う必要があるのかを十分に検討していくことが望まれます。


GDPRコラム

【関連ページ】



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?