2018年5月25日施行の『GDPR』とは?…『EU一般データ保護規則』罰則は売上の4%最大26億円のどちらか高い方

GDPR 「一般データ保護規則(GDPR)」
「EU一般データ保護規則」(GDPR:General Data Protection Regulation)
General Data Protection Regulation が欧州連合(EU)により、2018年5月25日施行された。

GDPRとは…

❏GDPRとは、1995年に採択された「EUデータ保護指令」に代わる形で2016年に採択された、新たな個人データ保護の法律だ。
❏EU加盟国に欧州3ヵ国を加えたEEA(欧州経済領域)域内31ヵ国に所在する、全ての個人データの保護を基本的人権と位置付けて、大幅な規制強化が図られた。
❏GDPRは、個人の名前や住所などはもちろん、IPアドレスやクッキーといった、インターネットにおける情報までも網羅的に「個人データ」に含め、その処理(収集や保管)に類を見ない厳格な順守を求めている。
❏個人データのEEA“域外”への持ち出しは原則禁止。
❏違反者には最高で、世界売上高の4%か2000万ユーロ(約26億円)のうち、いずれか高い方という超巨額の制裁金が科せられる。
https://diamond.jp/articles/-/170989

2018年5月25日から、EUの個人情報保護が大きく変わった!
それは、もはやEUだけの問題ではない。

つまり、欧州EEA域内の個人情報、IPアドレスからクッキーにいたるまでの個人情報を悪用する、または悪用された場合には、取得した企業に対して罰則が設けられたということだ。反則金が売上の4%か最大26億円のどちらか高い方という多大な罰則である。
欧州EUの法律のように無関係に思われがちだが、一斉にこの重大さに緊急対応が強いられている。

EU(欧州連合)内のすべての個人(市民と居住者)のために、
個人データのコントロールを取り戻し、保護を強化することを意図し、
および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである
https://ja.wikipedia.org/wiki/EU一般データ保護規則

個人情報の保護を目的にした欧州のルール。
欧州における個人情報の移転を規制するもの。
しかし、ECサービス等やシェアリングサービス等を経由し、取得した欧州の顧客データの移転に対しても、適応される。

罰則は売上高の4%、または最大26億円の大きい方

違反と認定された場合の罰則は、売上高の4%もしくは、最大2000万ユーロ(約26億円)のどちらかの高い方が適応される。

早速の苦情申し立て

❏プライバシー擁護活動家のMax Schrems氏と同氏が運営する非政府組織noyb.euは早速、GoogleとFacebookに対する苦情を申し立てた。

❏フランスのデジタル権利保護団体La Quadrature du Net(La Quad)がGoogleとFacebookに加えて、Apple、Amazon、LinkedInについても苦情を提出している。

❏GDPRの特徴の1つとして、影響を受けていると思われる個人に代わって非営利組織が企業について侵害の苦情を申し立てることができる点が挙げられる。これにより、苦情を申し立てる側の説得力が増し、申し立てを説明しやすくなる。

GDPR施行でアップル、アマゾン、LinkedInにも苦情申し立て–フランスで
https://japan.zdnet.com/article/35119971/

「欧州が、米国のグーグルやフェイスブックと、“一戦”を交える覚悟を決めたということ」

グーグルも恐れる個人情報規制「GDPR」とは?日本企業も他人事ではない
https://diamond.jp/articles/-/170989

Googleが運営者に説明

Googleの説明

❏GDPR 準拠に向けたサイト運営者様へのサポートについて

Google は、長きにわたりユーザー第一をモットーにサービスを提供してまいりました。その取り組みの一環として、Google はユーザーの個人情報を決して販売しないほか、[アカウント情報]、[広告の表示について]、[この広告の表示を停止] といったツールを通じて広告に関する情報の透明性を高め、ユーザーが自ら広告表示を管理できるようにしています。また、健全で持続可能な広告エコシステムをサポートし、サイト運営者様のビジネス拡大を支援するため、Coalition for Better AdsDigital News InitiativeGoogle ニュース イニシアティブads.txt といった取り組みにも投資しています。

Google は昨年 8 月に、欧州の新しい一般データ保護規則(GDPR)への準拠に向けた取り組みについて発表しました。この規制は、欧州経済領域のユーザーに適用されるものです。5 月 25 日の発効に向けて、できるだけ円滑に移行できるようにサイト運営者様へのサポート体制を整えております。このヘルプセンターの記事では、GDPR によってもたらされる変更に関するサイト運営者様へのサポート方法について詳しく説明しています。

❏データ処理管理者としての責任
Google のサイト運営者向けサービス(DoubleClick for Publishers(DFP)、DoubleClick Ad Exchange、AdMob、AdSense)で取り扱われる個人データについては、Google とサイト運営者様が独立したデータ処理管理者となります。

Google のサイト運営者向けサービスにデータ処理を任せても(かかるサービスをデータ処理管理者と指定しても)、サイト運営者様がそうしたサービスを利用することで得られたデータに対して、Google にさらなる権利を付与することにはなりません。

欧州経済領域のユーザーから一定の同意を取得することは以前から必要でしたが、GDPR に則してこれらの要件が更新されます。Google による広告サービスデータの管理方法が説明されているこちらのユーザー向けページをリンクすることをおすすめします。これにより Google の個人データの使用に関する情報がユーザーに提供され、EU ユーザーの同意ポリシーの要件を満たすことができます。

https://support.google.com/dfp_premium/answer/7666366

https://policies.google.com/technologies/partner-sites

Google EUユーザーの同意ポリシー

欧州連合のエンドユーザーへの対応:

Google サービスを使用した結果として、サイト、アプリ、メールなどのプロパティで発生するデータの収集、共有、使用について明確に開示し、同意を得るため、商業上合理的な取り組みを行う必要があります。
このポリシーが適用されるサービスに関連して、エンドユーザーの端末上で行われる Cookie その他の情報の保存およびアクセスについて、エンドユーザーに明確かつ包括的な情報を開示し、同意を得るため、商業上合理的な取り組みを行う必要があります。

https://www.google.com/about/company/user-consent-policy.html

GDPR規制

「プライバシー・バイ・デザイン」
「オプトイン原則」
「個人情報漏えい時の通知義務」
「データ持ち運びの権利」
「忘れられる権利」
「罰則の強化」

といった規制がある。EU外にある企業などが、EEA内に居住している人から個人情報を収集、保管する場合などに適用される。
https://japan.zdnet.com/article/35110326/