GDPR7原則: コンプライアンスの手引き
一般データ保護規則(GDPR)が2018年5月25日に施行されてからその話題で持ちきりです。
コンプライアンスを達成するのに5年もあれば十分だと思うかもしれないが、多くの企業はコンプライアンスを達成できていません。2022年の時点で、フランス企業の81%、アメリカ企業の95%がまだコンプライアンスに準拠していません。
このブログでは、GDPRの7つの原則に関する貴重な情報を提供し、コンプライアンスへの道をご案内します。また、Web解析ツールが、組織の透明性の向上、データセキュリティの確保、GDPRコンプライアンスの達成にどのように役立つかを探ります。
GDPRとは?
欧州連合(EU)は、個人によるデータ管理を強化し、データ処理の透明性を促進するため、一般データ保護規則(GDPR)を制定しました。
欧州ではRGPD、DSGVOなど、さまざまな名称で知られているGDPRは、EU市民や居住者の個人データの取り扱いをめぐる一連の規則を定め、組織がユーザー名、所在地、IPアドレス、クッキーから得た情報などを無責任に扱わないようにしました。
組織は、物理的な場所に関係なく、GDPRコンプライアンスを達成するためにいくつかの責任を負わなければなりません。これらの義務には以下が含まれます:
- ユーザーの権利の尊重
- 文書化および文書保持ポリシーの実施
- データセキュリティの確保
なぜGDPRへの対応が重要なのでしょうか?
データは世界中の企業にとって貴重な資産となっています。データの収集と利用は、ほぼすべての分野の特徴となっています。しかし、データ利用の増加に伴い、個人のプライバシーと権利を保護する責任も大きくなっています。
YouGovが17の主要市場で実施した調査によると、世界中の成人の3人に2人が、すべての市場においてハイテク企業が自分たちのデータを管理しすぎていると考えていることがわかりました。
GDPRは、データの収集と取り扱いに対する関心の高まりに取り組むことを目的とした、最も広範な政府の枠組みです。GDPRは個人データを悪用、不正アクセス、データ漏洩から保護します。GDPRは、企業が責任を持って個人のプライバシーを尊重して情報を取り扱うことを保証します。GDPRはまた、スウェーデン(54%)、インドネシア(56%)と並び、最も関心の低い地域(56%)である中国を含む他の国々で同様の法律が制定されるための基盤を提供しました。
GDPRは、個人データを保護し、個人が自分の情報をよりコントロールできるようにする上で極めて重要です。GDPRの遵守は、企業と顧客との信頼関係を築きます。現在、世界の71%の国がデータ保護とプライバシーに関する法律の適用を受けています。
コンプライアンス違反のリスクとは?
GDPRの重要性は理解できましたが、その意味するところは何でしょうか?コンプライアンス違反がもたらす結果は深刻であり、甘く見てはいけません。
GDPRの第83条によると、違反した場合、最大で全世界の年間売上高の4%または2,000万円のいずれか高い方が罰せられる可能性があります。中小企業にとって、このような多額の罰金は壊滅的な打撃を与えかねません。コンプライアンス違反は、個人またはデータ保護当局からの法的措置につながり、さらなる経済的損失につながる可能性さえあります。
起こり得る結果は、法的・金銭的なものだけではありません。GDPR違反は、企業としての評判を著しく損なう可能性があります。また、ポリシーやプロセスが準拠していないため、潜在的なパートナーと一致しない場合、非準拠はビジネスチャンスを失う可能性があります。顧客は、データ保護に真剣に取り組んでいる企業を、そうでない企業よりも信頼しています。
最も懸念されることかもしれませんが、人は、あなたがデータの権利を侵害していると考える場合、データ保護当局に苦情を申し立てる権利を持っています。これらの苦情は調査の引き金となり、あなたのビジネスが規則を破っていることが判明した場合、上記のすべての結果に直面する可能性があります。
GDPRの制裁金は総額で40億ドルを超え、顕著なペースで増加しています。2021年上半期と2022年上半期を比較すると、罰金は92%増加しています。2023年にメタ社に課される12億ユーロという記録的な罰金は、これまで見た中で最大なものです。しかし、中小企業も罰金を科される可能性があります。ハンガリーのある銀行は、対象者がデータの消去と訂正を求めたにもかかわらず、それを行わなかったとして1,560ユーロの罰金を科せられました。(警察情報を私的に使用した警察官に1,400ユーロの罰金を科したように、悪質なケースでは個人にも罰金が科されることがあります)
GDPR7原則とその遵守方法
GDPRについて、それがなぜ重要なのか、準拠しなかった場合にどのような影響が生じるのかについて、十分ご理解いただけたはずです。
コンプライアンスへの第一歩は、組織が処理する個人データを特定し、それぞれの種類を処理する法的根拠を決定することです。次に、データ処理活動がGDPRの目的と原則に合致していることを確認するために、データ処理活動を見直す必要があります。
GDPR第5条には、個人データの合法的処理を規定する7つの主要原則があります:
合法性、公平性、透明性
この原則は、合法的かつ透明性のある方法でデータを収集し、使用することを保証するものです。データは同意を得た上で収集し、なぜデータが必要なのかを顧客に伝えなければなりません。データ処理は公正かつ透明性をもって行われなければなりません。
遵守する方法
- 顧客から個人情報を収集しているかどうか、またその理由を確認しまう。
- 個人を特定できる情報(PII)とは何かを学びます。
- Webサイトやフォームを更新し、データが必要な理由とその使用目的について、明確でわかりやすい説明を盛り込みます。
- センシティブデータを処理する際には、個人から明示的な同意を得ます。
- Webサイトにクッキーの同意バナーを追加し、使用するクッキーとその理由をユーザーに知らせます。
- Google AnalyticsやMatomoのようなWebサイト解析ツールは、クッキーの同意バナーを作成し、Consentと統合する機能を提供しています。
- Matomoはトラッキングクッキーを使用しない設定も提供しており、その場合はクッキー同意バナーを追加する必要はありません。
- 個人情報保護に関する告知は、いつでもアクセスできるようにしておかなければなりません。
- CookieがGDPRに準拠していることを確認するためには、以下を行う必要があります:
- クッキーを使用する前に同意を得る(厳密に必要なクッキーを除く)。
- 各クッキーが追跡する内容とその目的を明確に説明する。
- 利用者の同意を文書化し、保存する。
- 特定のクッキーの使用に同意しない場合、サービスへのアクセスを拒否しない。
- 同意の撤回手続きを簡素化する。
Matomoのような、データを自動的に匿名化するように設定できるツールを使って、個人データを処理しないようにします。
目的制限
データを使用できるのは、収集時に訪問者、見込み客、または顧客に伝えた特定の合法的な目的のみです。それ以外の目的で使用することはできません。
遵守する方法
- 個人データを収集する具体的な目的を明確にする(注文の処理、ニュースレターの送付など)。
- 個人から明示的な同意を得ることなく、他の目的にデータを使用しないようにする。
データの最小化
データの最小化とは、明示された目的に沿って、必要なデータのみを収集することを意味します。必要以上のデータを収集したり保存したりすべきではありません。データの最小化を実施することで、コンプライアンスを確保し、データ侵害から保護することができます。
遵守する方法
- 各目的に最低限必要なデータを特定する。
- データ監査を実施し、不要なデータ収集ポイントを特定し、削除する。
- 不必要な情報を求めたり、業務に不可欠でないデータを保存したりしない。
- データ保持ポリシーを導入し、不要になったデータを削除する。
精度
あなたは、データを常に正確かつ最新の状態に保つ責任があります。顧客の情報に誤りがある場合は、速やかにデータを消去または修正するプロセスを持つべきです。
遵守する方法
- 顧客データを定期的に見直し、更新するプロセスを導入する。
- 顧客が誤りに気付いた場合、データの訂正を要求する簡単な方法を提供する。
ストレージの制限
データは必要以上に長く保管すべきではありません。正当な理由がある限り、つまり、明示され、同意された目的である限り、データを保持すべきです。不要になったデータは安全に廃棄する。データの保存に上限はない。
遵守する方法
- 収集するデータの種類に応じて、明確な保存期間を設定する。
- データ保持ポリシーを策定し、一貫して遵守する。
- 指定した目的で不要になったデータを削除する。
完全性と機密性
不正または違法なアクセスからデータを保護するため、施錠して安全に保管するなどの措置を講じる必要があります。
遵守する方法
- 個人情報を暗号化
- アクセス制御して安全に保管し、EU域内または同等の個人情報保護が施された場所に保管する。
- データ保護に関する教育を実施し、業務上必要な者のみがデータにアクセスできるようにする。
- 定期的なセキュリティ評価を実施し、脆弱性に迅速に対処する。
説明責任
説明責任とは、他の原則を遵守する責任があることを意味します。規則を守り、データ保護に真剣に取り組んでいることを示さなければなりません。
遵守する方法
- データ保護責任者(DPO)を任命する。
- データ処理活動およびデータ侵害の詳細な記録を保持する。
- データ侵害は72時間以内に報告すること。
GDPRの遵守は継続的なプロセスであり、定期的な見直しと更新が不可欠です。
GDPRの権利とは?
GDPRの下、個人には様々な権利が認められています。これらの権利により、個人データをよりコントロールできるようになります。
知らされる権利: なぜ自分のデータが必要なのかを尋ねることができます。
何をすべきか:なぜ個人情報が必要なのか、どのように使用されるのかを説明する。
アクセスする権利: 利用者は、利用者が保有する個人情報へのアクセスを要求することができます。
何をすべきか: 要求があれば、1ヶ月以内にデータのコピーを無料で提供する。
修正する権利: データの誤りや不正確さが発見された場合、顧客はその修正を求めることができます。
何をすべきか:不正確な情報は速やかに更新し、正確かつ最新の情報にすること。
データ処理に反対する権利 顧客は、ダイレクトマーケティングのような特定の目的でのデータ処理に反対する権利を有します。
何をすべきか:データを処理する正当な理由がない限り、この異議申し立てを尊重すること。
自動化された意思決定とプロファイリングに関する権利:GDPRは、プロファイリングを含む自動化された処理のみに基づく意思決定が個人に重大な影響を与える場合、その対象とならない権利を個人に与えています。
何をすべきか: このような場合、個人に人的介入を受ける権利を与え、自分の意見を表明させる。
忘れられる権利: 個人は、データが不要になった場合や同意を撤回した場合など、特定の状況下でデータの削除を要求できます。
何をすべきか: データを保持する法的義務がある場合を除き、そのような要請に従うこと。
データ・ポータビリティの権利: 一般的に使用され、機械で読み取り可能な形式で個人データを要求することができます。
何をすべきか: 他のサービスプロバイダーにデータを移したい場合は、本人にデータを提供する。
処理を制限する権利: お客様は、データの正確性を確認する間や、データの使用に反対する場合など、データの処理を一時的に停止するよう求めることができます。
何をすべきか: この期間はデータを保存するが、それ以上の処理は行わない。
すべてのWebサイト解析ツールはGDPRに対応しているか?
残念ながら、すべてのWeb解析ツールが同じように作られているわけではありません。世界のどこにいても、欧州市民や居住者の個人データを処理している場合は、GDPRの義務を果たす必要があります。
Web解析ツールは、ユーザーベースとWebトラフィックから貴重な洞察力を得るのに役立ちますが、すべてがGDPRに準拠しているわけではありません。7つの原則とGDPRの権利を守るためにどれほど努力しても、非準拠のツールを使用することは、GDPRに完全に準拠することができないことを意味します。
Webサイト解析ツールを使用し、データを扱う際には、以下の点を考慮する必要があります:
データ収集
適法性、公正性、透明性の原則に則り、Webサイト解析ツールを使用して訪問者の行動データを収集する場合は、Matomoでデータを完全に匿名化しない限り、追跡について訪問者の同意を収集する必要があります。
透明性を提供するために、IPアドレス、デバイス情報、閲覧行動など、収集するデータの種類も明確にする必要があります。データ収集の目的は、Webサイトのパフォーマンスを向上させ、視聴者をよりよく理解することです。
データの保存
データを安全に保管し、GDPRの保管制限原則に従って必要な期間だけ保管することを訪問者に保証します。データの種類ごとに保存期間を明示し、いつデータを削除または匿名化するかを明記します。
データの使用
目的制限の原則を遵守するため、収集したデータをWebサイト解析以外の目的で使用しないことを明確にします。また、明示的な同意がない限り、マーケティングや無関係な活動のために第三者とデータを共有しないことを約束する必要があります。
匿名化と仮名化
ユーザーのプライバシーを保護するためのIP匿名化のような機能は、GA4(Google Analytics)やMatomoで利用可能です。これらのツールの使用方法を説明し、さらに個人データを保護するために実名の代わりに仮名や固有の識別子を使用する場合があることを記載してください。
クッキーと同意
あなたのWebサイトが解析目的でCookieやその他のトラッキング技術を使用していることを訪問者に知らせます。Matomoは、カスタマイズ可能なCookieバナーとオプトアウトオプションを提供し、Cookieとトラッキングに関するユーザーの好みを選択できるようにします。
データへのアクセスと訂正の権利
訪問者に権利を知らせ、情報を要求する際の指示を提供します。不正確なデータを修正する方法と、希望する設定を更新する方法を説明します。
セキュリティ対策
データ・セキュリティに真剣に取り組み、不正アクセスや侵害からデータを保護するための対策を実施していることを訪問者に保証します。この機会に、データ保護のために使用している暗号化やアクセス制御を強調することもできます。
連絡先
御社のデータ保護責任者(DPO)の連絡先を記載し、データやプライバシーについて質問や懸念がある場合は、連絡を取るようユーザーに促します。
Web解析ツールを選択する際には、GDPRの原則にどれだけ合致しているかを考慮すること。匿名化、同意管理オプション、データ保持管理、セキュリティ対策、EUまたは同様にプライバシーを保護する管轄区域内でのデータ保存などの機能を確認してください。
Matomoは高度なGDPRマネージャーを提供しています。これは、匿名化機能に加えて、ユーザーにデータへのアクセス、同意の撤回、異議申し立て、消去の機能を提供することで、WebサイトがGDPRに完全に準拠していることを確認するためのものです。
Matomoクラウドをご利用の場合はEU圏内の弊社に、Matomoオンプレミスをご利用の場合はお客様のサーバーに保存されます。また、正確なデータ(AIでギャップを埋めようとしない)、データを他のツールに接続できる堅牢なAPI、クッキーの同意バナーが不要なクッキーのないトラッキングオプションを提供するため、業界を問わず信頼されています。さらに、オープンソースであるため、内部構造を調査することができ、セキュリティの保証を直接得ることができます。
GDPR対応の準備はできていますか?
EU市民や居住者のデータを扱うのであれば、既存企業であろうと起業したばかりであろうと、GDPR準拠の達成は不可欠です。コンプライアンスを達成するために莫大な費用や5年を費やす必要はありません。適切なツールとプロセスを使用すれば、すぐにプライバシー要件に対応することができ、高額な罰則やそれによる評判の低下を避けることができます。
GDPRに準拠するために、強力なデータインサイトを犠牲にする必要はありません。Googleアナリティクスは「独自の目的」のためにデータを使用しますが、Matomoは倫理的な代替手段です。オールインワンのWeb解析プラットフォームを使用することで、全てのデータを100%所有することができます。
Matomoの21日間無料トライアルを開始 – クレジットカードは必要ありません。
免責事項
私たちは弁護士ではありませんし、そうであると主張するものでもありません。ここで提供する情報は、GDPRの入門に役立つものです。私たちは、すべてのビジネスとWebサイトがデータプライバシーを真剣に受け止め、懸念がある場合は弁護士にこれらの問題を相談することをお勧めします。