GDPRとは?

General Data Protection Regulation(以下、「GDPR」といいます)は、2018年 5月 25日から適用が開始された 、EU一般データ保護規則です。
GDPRは、欧州連合(EU) 法体系の 根幹をなす法において保障されている、個人データの保護に対する権利 という基本的人権の確保を目的としています。個人データを欧州経済領域(EEA(EU加盟国28カ国+アイスランド、リヒテンシュタイン、ノルウェー) から第三国に「移転」するために満たすべき法的要件を規定しています。

適用対象は誰ですか?

GDPRは、EU加盟国やEU内で事業を展開及び運営し、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを扱う企業、EU以外の地域でも、EU居住者に財貨やサービスを提供する企業、EU居住者のEU内での行動をモニタリングする企業など、「個人情報の取得目的が明白になっている」企業や団体、事業者などに適用されます。

すなわち、EU加盟国に事業所を持っている企業だけでなく、EU内の事業所を持っていなくてもEU地域で個人データを収集し処理する企業も、GDPRに遵守しなくてはいけません。

GDPRの適用対象になる情報はどんな情報ですか?

GDPRは、個人情報に対して保存などの「処理」と「移転」に関して規制することで、データ主体である、エンドユーザー 自身に、個人のデータに関する処理とこれに対して異議を唱えるなどの権利を有することになります。

従って、GDPRは、 個人データに対して行われる全ての収集、保存および保管、そのほかの操作などの処理と移転に関して規制しています。

GDPRで定義する個人データは、識別された、または識別され得るデータ主体に関するすべての情報として、コンタクト情報(氏名、住所、連絡先など)、オンライン情報(IPアドレス、Cookieなど)、 金融情報(クレジットカード情報、収入など)、健康に関するデータ、 遺伝データ、 生体データ、 人種や民族的出自および社会的身分、 宗教的または哲学的信念、 労働組合への加盟や組合員たる地位、 性的嗜好に関するデータなどが対象になります。

BeusableとBeusablyはGDPRに次のように対応しています。

Beusableは、顧客(エンドユーザーを含む)の個人データに関する権利を尊重し、確実に対応するため、下記のとおりに新しい対策を講じ、GDPRを遵守しています。

  • データ保護責任者(Data Protection Officer:DPO)の選任
    完了
  • 収集するエンドユーザーのIPアドレスは難読化を施して削除
    完了
  • オプトアウト(Opt-Out)機能の開発:オプトアウトする場合、登録いただいたユーザーのデータをもう収集していない機能
    作成中
  • オプトアウトは、ユーザーが個人情報の収集について拒否する意思を示す前までに、個人情報の収集すること
    作成中
  • GDPRによる「データ処理契約書」の締結
    作成中
GDPRに 違反した場合、 ペナルティーなどはありますか?
重大な違反とみなされた場合には、前会計年度の全世界年間売上高が4%以下、または2000万ユーロの以下のいずれか高い方が制裁金として課せられます。
通常の場合には、前会計年度の全世界年間売上高の2%以下、または 最1,000 万ユーロ以下のいずれか高い方が制裁金として課せられます。
また、GDPR違反に対する制裁金の賦課と金額の算定は、各々の加盟国の監督機関による執行されます。
データ保護責任者(Data Protection Officer:DPO)の選任は必須ですか?
データ保護責任者(DPO)は、
(1)公的機関および団体、
(2)情報主体に対する「大規模の定期的かつ体系的な監視」に従事する機関、または
(3)個人の機密データや犯罪歴、犯罪行為に対して「大規模」で処理する機関である場合に、任命しなければなりません。

これらのカテゴリーのいずれかに属していなければ、DPOを選任する必要はありません。
会社でBeusableを利用していますが、データ管理者(コントローラ)として何をするべきでしょうか?
Beusableを利用する場合には、データ管理者(コントローラ)として、EUのユーザー向けには次のような儀務が適用されます。
Beusableは、CookiesとIPアドレスを収集し、保管しているため、合法的な方法によってその使用に対するエンドユーザー本人の同意を得る必要があります。

- エンドユーザーから同意を得た記録を保管しなければなりません。
- エンドユーザーに 同意の撤回に対する対処方針を明確に決めて通知または明示しなければなりません。.
- 個人データの使用に関して簡単にアクセスできる情報をエンドユーザーに提供しなければなりません。

*コントローラとは?
EUで事業展開、またはEU地域内のお客様を保有する個人、法人、公的機関、政府機関、その他の団体において、単独または他人と共に個人データ収集を目的とし、個人データ処理および収集手段を決定する人
弊社もBeusableと「データ処理契約書」を締結する必要がありますか?
EUに所在する企業やEU地域居住者の個人情報を収集する場合、Beusableと「データ処理契約書(Data Processing Agreement)」の契約を締結しなくてはいけません。
今、ビューザブルとビューザブリーは、GDPRに基づいて全ての条件を遵守する「データ処理契約書」を作成しています。