ちょっと前の話(旬の話題を逃した感)ですが、Googleから「一般データ保護規則(GDPR)に関する重要なお知らせ」といったメールを受け取り、これなんだろう…と思ったものです。
簡単に調べてみましたのでご報告します。
これはなんだ?その発端
もともとはEUが制定したデータ保護の法律がきっかけになっています。
正式名称は「EU一般データ保護規則」=「General Data Protection Regulation」の略で「GDPR」と称されているようです。
GDPR、そもそもはEUの法律ですが、EU参加国内の個人情報に該当するデータを保護するための法律なので、EU内でビジネスを展開する企業や、グローバルなビジネスを展開しているので必然的にEUにもユーザが存在するような企業にも関連してきます。当然その対象としてGoogleにも影響している、ということのようです。
EU内での個人情報(のデータ)を取り扱う企業(※)では新たに制定された法律であるGDPRに沿った個人データ取り扱いが要求されることになります。
個人情報保護法は法律なので抽象的な部分がありますので、JIS Q 15001のような規格を用いることでルールや行動に落とし込むことになりますが、それに追加してEUと関わる個人情報を保有していればGDPRが追加で適用される、ようなイメージでいればいいのかなと思いました。
じゃあ、我々関係ない?
Googleからメールを受け取った人が直接関係するわけじゃないよ、ってことではありそうです。GoogleがGDPR対応のためにサービス規約改定などを実施したので、その改定をお伝えしますよ、って趣旨で前述のメールが送られている、という認識でよさそうです。
でも、GDPR、気になる点はいくつかあります。
「EU(正確には欧州経済領域=EEA)で収集した情報が対象」で
「氏名、メールアドレス、クレジットカード番号、といった日本でも個人情報とされている情報」に加えて、「IPアドレス、cookie(クッキー)といった「これ、個人情報?」と日本国内では思われてしまうような情報」も「個人データです」と定義して、その収集、保管、利活用に対してルール化し、順守&破ったら罰金、という定めを実施しています。
代表的なところでは「個人データはEEA域外への持ち出し禁止」といった取り扱いの規定があります。
そしてその企業がどこに居るか関係なしに上記のルールが適用される、と言う点。
なんか話はオオゴトのようです。
※欧州経済領域=EEAの国って?と思って調べてみたら、単純にEU加盟国プラスのノルウェー、アイスランド、リヒテンシュタインの三国でEEAを形成しているようです。
個人事業主レベルでも関係するかも
関係するかどうかの判断基準は事業規模の多寡やどの国でビジネスをしているかではなく「EEA域内の個人データを収集・保有するか否か」という基準になる、と言う点で、もしかすると個人事業主や自営業のような個人商店でも関係してくる可能性がありそうですね。
とりあえず
契約先の顧客が(EUを含めた)EEA域内の個人情報に該当する情報を取り扱っているか、
とか
コンシューマ向けのビジネスであれば、その顧客にEEA域内の個人情報を有する個人が含まれていないか、
といったあたりはチェックしておくほうがいいかもしれませんね。対象かどうかは早めに判別しておいたほうが良さそう。
例えばインバウンドと呼ばれる日本への観光客が増加していますが、当然この訪日観光客の中にはEEA域内からの観光客も増えていると思います。
と、なると、小規模な地方の旅館であってもEEA域内からの訪日観光客が宿泊のために訪れるのであればGDPRの対象ってことになるのですが…、実際どうなんでしょう。
小規模な旅館でGDPR対策って実際どうなんだろう、やってるのかなぁとモヤモヤした気分になります。もうちょっと正確に言うと、しっかり取り組んでいるのか、はたまたGDPRなんて存在すら知らないという温度感なのか、どんな捉え方をされているのか、という意味で興味あります。
EUで5月25日(二週間前くらいに)「EU一般データ保護規則」(GDPR)が施行されました。
てことは、この規則はもう実行権を持っているってことになります。気になりますね。