GDPRとは?
EUにおいては、個人データの処理と移転に関するルールを定めた規則として、2017年4月にEU一般データ保護規則(General Data Protection Regulation:GDPR)が制定され、2018年5月から適用が開始されました。
GDPRは、EU域内の人の個人データを扱う企業等を直接規制する規則です。つまり、EU域内の企業に限らず、国内企業であってもEU域内の個人データを扱う企業等であれば規制の対象となる可能性があります。特に、EU域内へ商品やサービスを提供している企業やEU域内の企業から個人データの処理を受託している企業は注意が必要です。
GDPRへの違反行為には高額の制裁金が課されるリスクがありますので、対象となる企業は適切な措置をとっておく必要があります。
どのような事業者にGDPRの適用があるか
GDPRは、EU域外の事業者であっても、EU域内の人を対象とすることが明らかな場合(EU域内の人へ商品・サービスを提供するなど)には適用されます。
ウェブサービスがEU域内の人へ商品・サービスを提供することが想定されているかは、
ア)EU域内からのアクセス可能性
イ)使用されている言語
ウ)決済通貨
エ)ウェブサイト上の記載
などから判断されます。
国内向けウェブサービスでも適用される可能性はあるか
ウェブサービスは、インターネットを介して直接EU域内からもアクセス可能です(ア)。
もっとも、対応言語が日本語のみ(イ)、決済通貨も日本円のみ(ウ)というウェブサービスであれば、この他に特別な要素(エ)がなければ、「EU域内の人を対象とすることが想定されている」ことが明らかとはいえないため、GDPRの対象とはなりません。
他方で、インバウンド需要や海外ユーザーを想定して、英語等のEU域内でも使用されている言語に対応していたり、ユーロに対応したりしていれば、EU域内の人向けサービスと認定され、GDPRが適用される可能性があります。
EU域内の人とは
この他、「EU域内の人」とは、「EU域内にいる人」であり、特に国籍や居住地による限定はされていません。このため、日本語・日本円対応のみの日本人向けサービスであっても、例えばEU域内に居住している人を対象としたサービス(例:ドイツ在住の日本人向けサービスなど)であることが明らかな場合には、GDPRが適用される可能性があるため注意する必要があります。
おわりに
このように、全てのウェブサービスがGDPR対応をしなければならないわけではありませんが、特に、外国語や外国通貨への対応をしているウェブサービスでは慎重に検討する必要があります。
そして、GDPR違反の制裁金が高額であることからすると、適用される可能性がある場合には、速やかにGDPR対応をすることが重要です。