【EUの個人情報保護法】GDPRでIPアドレスやクッキーも個人情報に。企業はどう対応するべきか

【EUの個人情報保護法】GDPRでIPアドレスやクッキーも個人情報に。企業はどう対応するべきかのアイキャッチイメージ

EUでは2018年5月25日から日本の個人情報保護法にあたるGDPRが始まっています。
GDPRとはどういうものでしょうか。
知らずに違反してしまわないために、本記事で概要を紹介していきます。

GDPRの個人データとは?

GDPRとは「General Data Protection Regulation」の略です。
日本語では「一般データ保護規則」と呼ばれています。
GDPRはEUに加盟している28ヶ国およびアイスランド、リヒテンシュタイン、ノルウェーの計31ヶ国(EEA)に所在する個人データの保護を目的とした管理規則です。

組織は個人情報を取得する際に、自らの身元、連絡先、処理の目的、第三者提供の有無、保管期間等をユーザーに明示し、ユーザーから同意を得なければならないとされています。
この対象となるのは、個人を識別することができる可能性のあるあらゆる情報です。
代表例は以下のようなものです。

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
  • オンライン識別子(IPアドレス、クッキー)

注目すべきはIPアドレスとクッキーも適用範囲であることです。
これまで個人情報とされていなかった項目なので注意してください。

GDPRの適応範囲と企業の対応

【EUの個人情報保護法】GDPRでIPアドレスやクッキーも個人情報に。企業はどう対応するべきかのイメージ

GDPRの保護対象となるのは、EEA内に所在する個人の個人データです。
EEA内に所在していれば国籍や居住地を問いません。
また、以下のような場合もGDPRの保護対象となります。

  • 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
  • 日本企業からEEA内に出向した従業員の情報(元々は日本からEEA内に移転した情報も対象)
  • 日本からEEA内に個人データを送付する場合(基準に沿ってEEA内で処理する必要がある)
  • 日本からEEA内に送られ、EEA内で処理された個人データを再度日本へ移転する場合

なお、たとえEEAに支店や現地法人等がなくても、EEAに所在している個人データをやり取りする場合にはGDPRの決まりを守らなければなりません。
また、組織の規模や営利非営利、公的機関かどうかに関わらずGDPRは適用されます。
一部例外はありますが、中小零細企業も対象なので注意してください。

例えば日本に本社のある企業がウェブサイトを使ってEEAに所在している人に商品やサービスを提供する場合、たとえEEAに拠点を有していなくても、日本にある本社に対してGDPRが直接適用される可能性があります。
GDPRに従わなかった場合、企業の全世界年間売上高の4%以下または2,000万ユーロ以下の罰金が科されるおそれがあります。(いずれか高額な方)

EEAが関係するデータには要注意

GDPRではIPアドレスやクッキーも個人情報と定義しているため、これらの情報を取得している場合はEEA内からアクセスされていないか注意する必要があります。
もちろんEEA内の人へ向けたサービスを行っている場合は、GDPRで定められた個人情報処理を徹底するようにしましょう。

ネットワーク・データベース・クラウド・サーバ案件多数! インフラエンジニアの転職なら「FEnet インフラ」