top of page

新宿区​四谷の行政書士事務所

​小川行政書士事務所

GDPR
​プライバシーポリシーの作成
当事務所にお任せください

GDPR

2018年5月25日から適用されたEU一般データ保護規則(通称GDPR)は、EEA(European Economic Area:欧州経済領域)に所在する(旅行者などの一時滞在者含む)個人の情報を収集する事業者を幅広く適用範囲に含めており、EEA内に拠点がない事業者においても、ウェブサイト等でEEAに所在する個人のCookie情報や閲覧情報などを収集する事業者であれば適用されるため、十分に注意し、対応する必要があります。

1.GDPRの主な特徴

(1)個人データの範囲が広い

PCのCookie情報や閲覧履歴が個人データの範囲に含まれる


(2)適用範囲が広い

EEA(European Economic Area:欧州経済領域)域外の事業者も適用の対象となる場合がある


(3)違反事業者に対する高額の制裁金

最大で、2,000万ユーロ又は全世界売上の4%のうちいずれか高い額

etc.

2.主な摘発事例

(1)Mariott International

ホテル事業を経営するMariott Internationalは、約3億3,900万件の個人情報を流出させたことで、9,920万396ポンド(約135憶円)の制裁金を科されております。

(2)British Airways

約50万人の顧客データを漏洩したとして、航空会社のBritish Airwaysが1億8,339万ポンドの制裁金を科されております。

(3)Google

Googleは、個人情報の利用目的が明確に示されていなかったこと、ユーザーの同意を一括取得していたことから、5,000万ユーロ(約62億円)の制裁金を科されております。

これまでの摘発事例は大手企業に限られておりますが、個人情報の流出等があれば中小企業にも制裁が科される可能性があるため、対応が必須です。当事務所は、GDPRに準拠したプライバシーポリシーの作成経験が豊富なため、大変ご好評いただいております。

EEAに拠点のある事業者、ECサイトの運営者等ウェブサイトでEEAに所在する個人の情報(Cookie情報、閲覧情報等含む)を収集する事業者におかれましては、ぜひ一度ご相談ください。

1.GDPRにおける個人情報の定義

GDPR第4条(1):

「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に 関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、 オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神 的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照 することによって、直接的に又は間接的に、識別され得る者をいう。

難しい記載となっておりますが、要は、

「個人を特定できる情報であれば何でも個人情報である」

ということです。

従いまして、氏名、住所等のこれまで個人情報と定義されていたものに加えて、Cookie情報、閲覧情報等、個人を識別できるのであれば個人情報の範囲に含まれます。

2.オプトインの同意

GDPRでは、個人情報を収集する際に、データ主体の「同意」が必須です。

日本の個人情報保護法では、収集時において、利用目的の通知で足りますが、GDPRでは、利用目的の通知に加えて、データ主体の「同意」を義務付けております。

従いまして、データ主体がウェブサイトにアクセスする際には、GDPRプライバシーポリシーを提示したうえで、Cookie情報等の取得に関する「同意」を取得しなければなりません。最近、企業のウェブサイトにアクセスすると表示されるポップアップがそれです。まれに、個人がウェブサイトにアクセスした際に、Cookie情報を自動取得したうえで、オプトアウト(同意の撤回)の方法を案内しているウェブサイトがありますが、この対応はGDPR上NGなのでご注意ください。

その他、ターゲット広告の配信やGoogle Analyticsを利用してアクセス解析などしている場合は、プライバシーポリシーにその旨を盛り込み、データ主体に表示したうえで同意を得る必要があります。

3.データ主体の権利

(1)訂正させる権利

GDPR第16条で、事業者がデータ主体に関する不正確な個人データを保有している場合、事業者に対して、訂正させる権利を有します。

GDPR第16条:

データ主体は当該データ主体に関する不正確な個人データについて管理者に不当に遅滞することなく 訂正させる権利を持つものとする。取扱いの目的を考慮し、追加の記述を提供するという手段を含め、 データ主体は不完全な個人データを完全にする権利を持つものとする。

(2)忘れられる権利

GDPR第17条に基づき、データ主体は、収集された個人データが以下に当てはまる場合には個人データを消去させる権利を有します。

  • 法令上の保管期間を過ぎたなど、事業者が保管する必要が無くなった場合

  • データ主体が同意を撤回し、その他取り扱いに関する法的根拠がない場合

  • 個人データが不当に扱われた場合 etc.

4.個人データの第三国への移転(十分性に基づく移転)

原則として、データ主体の個人データを第三国又は国際機関へ移転することはできませんが、GDPR第45条第1項により、欧州委員会が、保護に関して十分なレベルを保証していると決定した場合には、当該第三国又は国際機関へ移転することができます。なお、日本は欧州委員会より、個人データの保護に関して十分性を充たしていると認定されています。

GDPR第45条第1項:

第三国又は国際機関への個人データの移転は、当該第三国、第三国域内の領域若しくは一つ若 しくは複数の特定された部門、又は国際機関が保護に関して十分なレベルを保証していると欧 州委員会が決定した場合に行うことができる。この移転は、いかなる個別的許可も要しない。

5.子どものプライバシー

GDPR第8条第1項で、16歳未満の子供の個人情報を取得する場合、子に対する保護責任を有する者の同意又は許可が必要であるとしておりますので、16歳未満の子供の個人情報を収集する場合には慎重な対応が必要です。

​GDPRの原文(和訳付)はこちらをご参照ください。

小川行政事務所:東京都新宿四谷三栄町2-14-328

​営業時間:平日の午前9時00分~午後6時00分

bottom of page