「GDPR(一般データ保護規則)」EU域内の新しい個人情報保護法の仮日本語訳・基礎的概念、日本企業・個人が知っておくべき制裁金など。

著者:Yuichi Okita

「GDPR(一般データ保護規則)」EU域内の新しい個人情報保護法の仮日本語訳・基礎的概念、日本企業・個人が知っておくべき制裁金など。

最終更新日:2018-05-21

いよいよ5月25日よりEU域内の新しい個人情報保護法が施行されます。
これは一般データ保護規則(GDPR: General Data Protection Regulation)と呼ばれ、現在EU域内に適用されているEUデータ保護指令を、新しい形で全世界に適用させ、EU市民の権利を守る目的で強化された規則であり、違反するとEU域外で世界中どこの国であっても制裁金が科される可能性があります。

対象は「EUユーザーの個人データを取り扱う管理者や取扱者(自然人・法人を問わない)」(第4条第7項8項)となっていますが、私個人的には、

  • 私のようなEUユーザーとご縁の薄い個人サイトも、EUからの訪問ユーザーへ配慮するのがエチケットなのではないか

と思って、
GDPRレディネス(積極的な姿勢で臨む準備)としての対応を当サイトでもアップデートし続けています。
ただし、全世界のサイトオーナーと同様に、私も具体的にどんな対応をすれば良いのかは分からないままアップデートしてきている面があり、「これで完全だ」といえるものでは決してありません。

本記事では、現在調べた範囲内で、GDPRの仮日本語訳・基礎的概念・理解度が増す動画・日本企業や個人が押さえておくべきポイントなどについて書いてみます。
免責:対応策が正しいのか間違っているのかは保証できません。
理由はこちらをご覧ください

このページの目次です。

GDPR原文の和訳・よくある質問・基礎的概念・説明動画

原文の和訳

GDPR原文を一般財団法人日本情報経済社会推進協会(JIPDEC)にて有識者の方々が一部仮翻訳されていますので、個人データおよびその他の定義等の詳細は下記PDFにてご確認ください(定義は第4条に規定されています)。

公式ページでのよくある質問

GDPRについてよくある質問は、下記の公式ページにて回答が示されており、つまづきやすそうな点が丁寧にまとめられています。

GDPRの基礎的概念

日本貿易振興機構(JETRO)により、下記の一文でGDPRを端的に分かりやすく表現されています。

GDPRを一言で説明すると?=「個人データ」の「処理」と「移転」に関する法(2016年11月現在)

また、JETROの「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)の2ページでは、下表のように基礎的概念が示されています。

[表:基礎的な概念の説明と例]
概念 説明
個人データ 識別された、または識別される自然人(データ主体)に関するすべての情報
  • 自然人の氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー識別子)
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
処理 自動的な手段であるか否かに関わらず、個人データ、または個人データの集合体に対して行われる、あらゆる単一の作業、または一連の作業
  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客の連絡先詳細の変更
  • 顧客の氏名の開示
  • 上司の従業員業務評価の閲覧
  • データ主体のオンライン識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真を含むリスト作成

 

移転 GDPRに定義なし。あえて定義すれば、EEA域外の第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為
  • 個人データを含んだ電子形式の文書を電子メールでEEA域外に送付することは「移転」に該当する

引用元:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

上の表の具体例だけでも、Webサイト運営者にとっては「どの範囲のデータに注意を払えば良いのか」一定の指針となり、有難いハンドブックだと思います。

ここで大前提に戻りますが、GDPRはEU域内の個人情報保護法ですので、日本国民が日本国内で適用される規則ではありません。
EU域内の個人やEU法が適用される自然人のデータの取り扱いを定めた規則です。そして、GDPRの地理的適用範囲は、EU域内・域外は問われません(第3条第1項および第2項)。

ちょっとコラム 民法では、人は自然人と法人の2つに分けられます。一般的に呼称される「人」「個人」は、民法では自然人として扱われます。

 

GDPRを3分で説明する動画

下の動画は英語のナレーションですが、イラストを用いて分かりやすく説明してくれています。ざっくりとした説明ですが、雰囲気を掴みやすいので、視聴しているのと視聴していないのでは、GDPRへの理解度はかなり異なると思います。ぜひ3分半のご視聴をお勧め致します。
例えば私の場合、別資料の翻訳で「コントローラー」「プロセッサー」というカタカナを読んだ時、機器を指すのか人を指すのか理解に迷うことがあったのですが、
この動画では「コントロールする人」「データを処理する人」がイラストで描かれているため、個人的には理解の前進に大いに有用な経験となりました。

引用元:What Is The GDPR? by YouTube.

 

日本企業・個人が知っておくべきこと:GDPR違反の制裁金が高額

大手企業なら昨年からGDPRを意識して企業活動されてきてご存知だとは思いますが、GDPRに違反すると制裁金が、

  • 最大で、前年度全世界年間売上高4%または2,000万ユーロまでのどちらか高い方を制裁金として科されるものとする(第82条第6項)

と規定されています。

本日(2018-05-21)のレートでは、1ユーロ=130.619779 円 ですので、2,000万☓130.619779=約26億円の制裁金。
相当に巨額であることが分かって頂けると思います。

日本の企業風土や日本人がGDPRに対して機運が高まらない理由

本サイトは現在もまだ全体的にリニューアル作業中なのですが(2018-05-21現在)、私は昨年2017年もGDPRの前身、EU一般データ保護指令についての記事を書いたことがあります(現在はその記事のデータベースを削除したため、存在しません)。
昨年から通して思うことは、「日本国内においてGDPRへの意識が薄い」ということです。

なぜ日本国内でGDPRへの機運が高まらないのか?」私が考える理由は下記の3つです。

  1. 日本人は英語が苦手なので、悪意なくGDPRを軽視してしまう傾向があるのではないか?
  2. 普段からヨーロッパに関するニュースが日本国内では少ないため、どこか遠くの国の出来事だと感じている人々が多いのではないか?
  3. 日本でのインターネット上での個人情報への意識がヨーロッパ程厳格ではないため、他人事のように感じてしまうのではないか?

海外サイトの掲示板のコメントでも、

  • 「GDPR対応を弁護士に正式に依頼すれば良い」
  • 「GDPR施行は大手SNSを封じ込めるための規則だよ」

という趣旨の内容を見かけ、それも正解だと思います。
SNS事業者とその取引先業者との間でのプロファイリングされた個人情報の売買は、透明性を著しく欠きますし、
個人的嗜好を調査する過剰なトラッキングは、ユーザーのブラウジング体験を損なう結果を招きます。

 

OKITA's VIEW

ただ、私の考えとしては、GDPR対応への取り組みは、EUユーザーの個人データを管理・処理する大手企業や事業者の意識改革だけで留まるには勿体無く感じ、
せっかくの機会なので、EUユーザーの個人データを取り扱わない個人サイトにおいても、試行錯誤で対応を試みていけば、
Web全体としてモラル水準が上がり、個々のユーザーのWeb観も良い方向に向かって収斂されていくのではないか、と思っています。

例えば、「送信ボタンを押す前にはデフォルトで同意チェックを外しておき、ユーザーにチェックしてもらう」というルールなどが統一化されていれば、サイト運営者とユーザーとの間の錯誤やトラブルが減少し、Webの世界が全体的に健全化されていく方向へ向かう、と考えていますし、健全化の方向へ向かってほしい、と願っています。

インターネットが市民社会に普及し始めて約25年ほど経ちますが、未だに

  • 胡散臭い
  • 信用し辛い
  • 不安だ

というムードを引きずっています。

昨今、大手企業の精力的な努力のおかげで、HTTPSインフラ普及による暗号化接続や各種デバイス機能の向上、ビジネスの3要素である「ヒト・モノ・カネ」の流動性も高まり、AI(Artificial Intelligence:人工知能)化も進む社会において、Webは新しい世代への発展を急速に続けています。
このような状況下で、Webへの不信感は未だに燻り続けています。

今回のGDPR第5条第1項(a)号では、

データ主体との関係において、適法、公正かつ透明性のある手段で取り扱われなければ
ならない。

と、「適法性、公正性及び透明性の原則」が明文化されていますので、私のような個人のサイト運営者の方も個人データを取り扱う際には、センシティブ・デリケートに行うように高い意識を保つことを心がけていけば、Webの健全化はもっと進むだろうし、そうなることを願っています。

 

上述のような個人的な思い入れを添えながら、現状私が目にしている範囲内でのWordPress プラグインによるGDPR対応策・レディネスについて、
次の記事に書いていきます

 

Related Posts 左へスライドして記事をお選びください。


最後までお読み頂きありがとうございます。

著者について

Yuichi Okita administrator

好物は焼き鳥と吉本新喜劇界隈のたこ焼きです。コンサルティング科目:SEO、コピーライティング、ブランディングアップ以外に、PCハード面、ソフト面、マーケティング、E-mail marketing、英語、他。/ 好きな書籍「孫子の兵法」 / 法人のお客様は、お問合せフォームをご活用くださいませ。/ 個人のお客様は、SEOコンサルティングのみお受けしております。Twitterからのお問合せもお受けしております。