1.GDPRとは?
「GDPR」とは「General Data Protection Regulation」の頭文字を取ったもので、日本語では「一般データ保護規則」とも呼ばれます。
これは、欧州連合(EU)によって2018年5月25日より施行された、「個人データ」の処理と移転に関する法律です。EEA域内で取得した個人データを処理し、EEA域外の第三国に移転するために満たすべき法的要件を規定しているものです。
個人情報の範囲を、従来よりも明確に定めており、違反した場合はしかるべき対処を行うこと、そして罰則についても定めています。
GDPRの適用範囲は、欧州経済領域(EEA)域内であり、つまりEU加盟国である28カ国と、アイスランド、リヒテンシュタイン、ノルウェーを合わせた全31カ国が該当します。
GDPR ではEEA域内で取得した氏名やメールアドレス、クレジットカード番号などの個人データをEEA域外に移転することを原則禁止しています。
この法律の対象となるのは、現地の企業だけでなく、「EEA域内で取得した個人情報を扱うすべての企業」となります。よって、日本企業もEEA域内への越境ECにおいて商品やサービスを販売したり、マーケティング活動をしたりする際、EEA域内においてユーザーの個人情報を取得する場合、法律の対象となります。
2.GDPRによって変わったこと
GDPRは、1995年より施行されていた「EUデータ保護指令(Data Protection Directive 95)」に代わるものです。
従来のEUデータ保護指令は、EUとEEA加盟国が指令に基づく国内法を整備することで初めて効力を持つものでしたが、GDPRは適用が開始され次第、加盟国とEU域外の対象企業に直接適用されるルールとなりました。それに伴い、EU域内でのデータ保護法は原則として一本化されたのです。
GDPRでは個人情報の範囲をより明確に定め、違反した場合の対処法や罰則を定めました。
3.GDPRに対してEC担当者がすべき対応
EEA域内で個人データを取得する越境ECに取り組む日本企業のEC担当者は、GDPRに則った対応を行う必要があります。ここでは、行うべき対応の概要をご紹介します。
3-1.「個人データ」の範囲を理解する
まずGDPRにおける「個人データ」を理解する必要があります。個人データとは、「識別された、または識別され得る自然人に関するすべ ての情報」とされており、名前、住所、識別番号、メールアドレス、オンライン識別子(IPアドレスやクッキー識別子)、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因と規定しており、日本の個人情報保護法よりも対象が広くなります。
3-2.プライバシーポリシーの作成・公表
越境ECサイト上には、GDPRに対応したプライバシーポリシーの作成・公表を行うことが求められます。プライバシーポリシーでは、自社が行う個人データの取扱いの詳細、例えば利用目的、取扱いの法的根拠、本人の権利などを記載します。そして公表通り、問い合わせがあれば本人に情報提供などを行います。
3-3.フォームに個人データの取扱い同意のチェックボックスを設ける
ECサイトの会員登録フォームや、問い合わせフォームで個人データを取得する際は、フォームの送信ボタンの手前に、「個人データの取扱いに同意する」旨のチェックボックスを、同意が必要なケースに応じて設けます。
3-4.クッキー(cookie)の取得についての同意を得る
越境ECサイトにはクッキーポリシーも公表し、サイトの初回来訪者にクッキー取得と使用の同意を取ります。また個人の意思により、いつでもその同意を取り消せるようにすることも求められます。
3-5.セキュリティ対策
実際に個人データを取得した際には、セキュリティ対策を徹底し、保護する必要があります。
4.まとめ
ヨーロッパ圏などへのGDPRが適用される範囲へと越境ECに取り組む場合には、GDPRを正しく理解して取り組むことが求められます。越境ECのEC担当者は、ぜひ正確な情報を確認しておきましょう。正確かつ詳細な情報を確認するには、JETROの資料「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編)」がおすすめです。