Eコマースのための「GDPR：一般データ保護規則」直前チェックシート

■「GDPRの対応が間に合わない！」サービスを閉鎖するサイトも
2018年5月25日施工を直前に控えた「GDPR：EU一般データ保護規則」（2018/05/18 執筆時点）。前回『あなたは「２６億円」払えるか？高額な罰則金の「一般データ保護規則：GDPR」』を公開したあと、「知らなかった」「今からでは対応が間に合わない」「何をすればよいのか」といった、深刻なお声を頂いたため、今回は該当するEコマース事業者の「最低限とっておくべき対策」をまとめてみます。

図：「GDPRに抵触しないという確証がない」と閉鎖したイギリスのウェブサイト

https://www.streetlend.com/

※注意：なお本記事はあくまで、各分野の専門家から収集した法的根拠と対策を、Eコマース事業者の目線からまとめた記事です。実際の判断については必ず弁護士などの専門家に相談の上、指示を仰がれることをお薦めいたします。

■制裁金までのプロセスを知り、対応する。
往々にして適切な対応には、相手の戦利品と攻め方を知ることが重要です。間に合わないからと、不十分な情報量から勘や憶測で対応すると失敗に終わるでしょう。
今回のGDPRも同様です。まず、最大２６億円の制裁金がとかく目をひきがちですが、EU加盟国のデータ保護監督当局には課せられた「成果＝仕事の評価」があります。「立件した件数」と「立件案件の重大性」です。つまり立件案件の重大性＝「制裁金額」これが「戦利品」なのです。
さらにその攻め方も、当局委員会の人手が足りていない、という実情から「質問状の送付」が第一ステップになることが想定されています。（JETRO：GDPR施行開始直前セミナー ‐EU一般データ保護規則への対応‐　GIBSON DUNN 資料より）

ということは、多くの専門家が指摘するとおり、この質問状に対して適切な「説明責任」を果たせるかどうかが極めて重要です。そこで、「逆引き」的に、優先タスクを洗い出すと

・データマッピング（どのような「目的」で、どのような個人データを処理しているのかの洗い出し）
・プライバシーポリシーの変更（わかりやすいか、クッキーポリシーはあるか）
・社内の運用規定の整備（日本の改正個人情報保護法における、個人情報保護規程のGDPR版）
・情報通知・同意書・処理契約の作成（GDPRに関する第２９条作業部会ガイドラインをチェック）

となります。上から順に実施し、スケジュール的に間に合わない場合も、いつまでに完了予定などのスケジュールを回答できるよう準備しておく必要があります。

■まず、十分な情報を収集する。
まず、必読書として、以下の２つの文書は必ず目を通しておくべきでしょう。多くの方が「読まなくて良い」とお考えのようなのですが、リスクの大きな案件です。ショートカットで手短に終わらせようとせず、30分あれば目を通せる内容なので、しっかりと熟読しておかれることをオススメします。

『「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）』
https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf

『「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（実践編）』
https://www.jetro.go.jp/ext_images/_Reports/01/76b450c94650862a/20170058.pdf

次に、上記には記載されていない追加事項もありますので、
その他の重要なガイドライン：https://www.jetro.go.jp/world/europe/eu/gdpr/#handbook

また、
「個人情報の保護に関する法律についてのガイドライン
（ＥＵ域内から十分性認定により移転を受けた個人データの取扱い編） 」
http://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000173547

も重要な文書となります。特に現在日本は、EUからは個人情報保護の法律が十分であるとの認定を受けていません。しかし、これが年内に覆る可能性もあるため、参考資料として知っておく必要がある情報になります。

これらを把握した上で、「パラシュート勉強法」的にスピード対応するなら、

・GDPR準拠「プライバシーポリシー」テンプレート
　外部から一番突っ込みやすい箇所なので、テンプレを活用してスピード対応しておく。
https://www.itgovernance.co.uk/blog/how-to-write-a-gdpr-privacy-notice-with-documentation-template-example/

・「個人情報保護規程」の参考例（大阪府）にGDPR要素を加えて説明責任に備える。
http://www.pref.osaka.lg.jp/fukushisomu/kojinjoho-fukushi/index.html

・Shopify　GDPRマニュアル　で、中小ECの運用参考情報をチェックする
https://help.shopify.com/manual/your-account/GDPR

・大企業向けデータマッピングツール（中小企業は手作業で十分）
https://onetrust.com/products/data-mapping/

手作業でのデータマッピングの際には、個人情報取得の「目的（＝リスク）」を明確に。例えば、従業員データの場合、給与支払い＜人事考課＜商品宣伝　の順にリスクは高い。

また、ウェブサイトに実装しておくと「対策してるな」と評価してもらいやすいツールに
Google提供のCookie取得の同意ツール http://www.cookiechoices.org/
IP アドレスの匿名化　https://support.google.com/analytics/answer/2763052?hl=ja
データ処理修正条項　https://support.google.com/analytics/answer/3379636?authuser=0
Google　オプトアウト アドオン　https://tools.google.com/dlpage/gaoptout
Google以外の日本の広告のオプトアウトツール　http://www.ddai.info/optout
があります。

その上で、EU圏の対応が進んでいるサイトサンプルを参考に細かなチェックをしてみてはどうでしょうか。
イタリアに本社を持つバイクメーカー：ドゥカティ：https://www.ducati.com/
EC大国イギリスの百貨店チェーン「ジョン・ルイス」　https://www.johnlewis.com/

■そもそも、本当に多額の制裁金は発生するのか？
まず、26億円が脅しではなく、また中小企業も対象となる可能性が高いことを改めて認識しておく必要があります。以下は、GDPR施工前の、過去のEUでの罰則金の事例などです。

ＥＵ、米フェイスブックに罰金1.1億ユーロ　ワッツアップ買収巡り
https://jp.reuters.com/article/eu-facebook-antitrust-idJPKCN18E15W

GoogleにEU競争法（独占禁止法）違反で3000億円の制裁金。過去最高額に
https://www.gizmodo.jp/2017/06/google-slapped-with-record-2-7-billion-fine.html

中小企業にも影響は及ぶのでしょうか。

ウィルマーヘイル法律事務所 ブリュッセルオフィス・シニアアソシエイト
弁護士（日本国、ブリュッセル弁護士会、米国ニューヨーク州） 杉本 武重 氏
http://globe.asahi.com/feature/side/2018031900002.html

■自社はGDPRの対象組織なのか？をチェックする
次に、自社がGDPRの対象組織なのかどうかをチェックします。
　
a) EEA域内でビジネス活動をおこなっているか。
過去、EEA（European Economic Area） = 欧州経済領域　で、SNSやマーケティングなどの事業活動を行ったことがあれば、前回紹介したとおり、日本の企業でも対象となる可能性が高くなります。
EEAとは、EU２８カ国に、３カ国を加えた、以下の３１カ国となります。
アイスランド/フィンランド/マルタ/リヒテンシュタイン/フランス/オランダ/ノルウェー/ドイツ/ポーランド/オーストリア/ギリシャ/ポルトガル/ベルギー/ハンガリー/ルーマニア/ブルガリア/アイルランド/スロバキア/キプロス/イタリア/スロベニア/チェコ/ラトビア/スペイン/デンマーク/リトアニア/スウェーデン/エストニア/ルクセンブルク/クロアチア/イギリス

図：EEA

なお、イギリスは2019年3月に、EU離脱（Brexit/ブレグジット）を予定していますが、現時点ではGDPR（一般データ保護規則）の対象国であり、かつ、EU離脱後もGDPRと同等の情報保護体制にする意向との情報があります。　→　UK OUTLINES NEW DATA PROTECTION LAWS　/ 05 October 2017 /
https://www.jltspecialty.com/our-insights/publications/cyber-decoder/uk-outlines-new-data-protection-laws /

b) 以下の３パターンの企業に該当するか
１）EEAに子会社、支店、営業所などの拠点を持つ企業
２）EEA域内の企業から、個人データ処理について委託を受ける企業
３）EEAの消費者に商品やサービスを提供する企業

具体的には、越境ECおよびそのマーケティング、グローバル企業、日本国内の旅館・宿泊施設、メーカー、カスタマーサポート、データセンター、決済システム会社などで、EEA域内で個人情報を取り扱っている場合、また、EEA域内から日本や関連国へ個人情報を移転する場合が該当します。厳密には、顧客データのみだけでなく、従業員情報も対象となりますので、現地法人や担当者に確認が必要です。

参考：「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）日本貿易振興機構（ジェトロ）

c) 対象となる個人データを保有しているか
　- EEA域内に所在する、国籍や居住地などを問わない個人データ
　- 短期出張・短期旅行でEEA域内に所在する日本人の個人データ
　- 日本企業から現地に出向した従業員の情報(元は日本からEEA域内に移転した情報)

※「処理を実行中、又は第三国への移転後に処理が予定されている個人データのいかなる移転」にも適用 (第44条)
日本からEEA域内に一旦個人データが送付された場合また、当該個人データが日本へ移転される場合
参考：「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）日本貿易振興機構（ジェトロ）

d) EEAから日本へ「個人データ」を移転しているか
このデータの移転は理解が難しいので、以下に例を示します。
例：日本企業のフランス子会社からインド子会社へ、EEA域内に在住する従業員や消費者の個人情報を、書面又は電子形式の文書で、郵便又はメールで送付している。しかし、GDPRが定める行動規範・認証制度、SCC、またはBCR（大企業向け）などを適用していない、あるいは例外的に上記不適用でも認められる法的承認を受けていない場合は罰則対象となる。
参照：JIPDEC主催第18回データ流通促進WG～国境を越えるデータ流通の促進～
参照：ベルギー日本人会商工委員会2016年度第3回ビジネスセミナー

※　この個人データには、IPやCookieが含まれることを注意してください。GDPR： (第4条(1)及び前文第26項から第30項)

■最大制裁金　２６億円（€2000万以下）の対象は？　
GDPRでは、なにもいきなり制裁金を要求されるわけではありません。罰則には３段階の制裁ステップがあり
１）情報開示・監査指示、データ処理作業の禁止、消費者への周知命令、各種認証の警告/撤回
２）制裁金　1,000万ユーロ、または前会計年度の全世界年間売上高の2％のいずれか高い方
３）制裁金　2,000万ユーロ、または前会計年度の全世界年間売上高の4％のいずれか高い方
となっています。
※2018/05/09時点のレート　１ユーロ＝１３０円で計算すると　2,000万ユーロ＝２６億円
※参照：GDPR　第83条　4項/5項

このうち、３）の罰則に該当するのが、
・データ処理に関する原則を遵守しなかった場合(第5条)
・適法に個人データを処理しなかった場合(第6条)
・同意の条件を遵守しなかった場合(第7条)
・特別カテゴリーの個人データ処理の条件を遵守しなかった場合(第9条)
・データ主体の権利及びその行使の手順を尊重しなかった場合(第12-22条)
・個人データの移転の条件に従わなかった場合 (第44-49条)
・監督機関の命令に従わなかった場合 (第58条(1)及び(2))
となります。

各条項の参考：日本情報経済社会推進協会　版「一般データ保護規則（仮日本語訳）」
https://www.jipdec.or.jp/archives/publications/J0005075

いかがでしょうか。元々話題となっていた、Googleアナリティクスの設定については、よくわからないのであれば、そのままデフォルトで良いことは前回の記事でご理解いただけたと思います。一方で、GDPRの対策そのものは非常に作業量も多く、現地法人も含めたリモートでの対応となるためなかなか時間のかかる作業を覚悟しておく必要があります。なにか上手くショートカット的に対応できないか、というお声も伺いますが、あくまでも、欧州の個人情報保護への考え方に敬意を払い、真摯に向き合いつつも、毅然とした態度で対応を進めることが重要なポイントと私は教わりました。

日本でも、GDPR対策をお請けになられるコンサルタント会社や法律事務所などが増えてきましたと思います。ただ、数年かけて対策してこられた第一線の方々ですら不明点が多く１００％の正解が持てない、というのが現状です。勝手な憶測で判断せずに、信頼のおける専門家や機関にご相談されることをお勧めいたします。

 - Eコマース情報, JECCICA記事, コラム