化粧品通販の我が社にGDPRは関係あるのかまとめてみた

2018年6月11日2018年6月12日

1. GDPRは国内向け化粧品通販の会社に関係ある？
- 1.1. 我が社のスペック
2. そもそもGDPRとは？
3. GDPR導入のEU側の真の狙い
4. 日本に関係あるの？
5. どういう日本企業に影響あるの？
6. 対象になっちゃったら何しないといけないの？
7. なんでそんなに慌ててるの？
8. え～？そんなの日本の、中小企業には実際制裁こないでしょ？

GDPRは国内向け化粧品通販の会社に関係ある？

5月25日より施行されたGDPRが我が社に果たして影響あるのか。誰も調べていないだろうからってことで、自分で調べてみたので報告します。

我が社のスペック

化粧品通販の我が社のスペックはこんな感じ。

年商50億弱
国外拠点はないが、商品製造は韓国
海外向けの販売はやってない（国内発送のみ）
転送コムとかで海外に転送してるお客様はいる（自己責任）
英語版のウェブサイトは、ない
リタゲ用のタグを入れまくってる（数十種類）

ということで・・・それなりに前の方を走ってるネット化粧品通販だと思われます。こんな私達はGDPRに備えて何かする必要があるんでしょうか？

そもそもGDPRとは？

・EU一般データ保護規則と呼ばれてる
・General Data Protection Regulation　の略
・2年前にEU法はできたが施行まで2年の猶予があり施行が2018年5月25日

GDPR導入のEU側の真の狙い

・気がついたらFacebookやGoogleといった米国企業に、インターネット産業を牛耳られている状況に危機感を抱いた

・元々EUは宗教や政治等に関して、自分の個人情報にアメリカより敏感
（ナチス時代の監視の流れや、各国における政治的な緊張、移民忌避などの背景）

・便利になりすぎたインターネットを、一回見直すべきだ、との狙い
（この辺りのリーダーシップをEUで取りたかったんでしょう、対米意識）

日本に関係あるの？

・EUに在住している個人の個人情報を扱う企業に影響あり
※EU→正確には数カ国追加してEEAというが、このブログでは誤差の範囲としてEUで書いとく

・EUに所在してなくても、EUの個人の情報を取得する企業に影響がある（域外適用）

・基本的に、ドメスティックな弊社は99.99％関係ないと思っていて今は、大丈夫
※判例・・・というかドメスティックな企業が制裁を食らった事例がでるまでは、様子見で大丈夫だと思います。

どういう日本企業に影響あるの？

・支社や拠点がEUの企業
・営業先がEUの企業
・EUからの訪日を受ける旅館とかのインバウンド需要業界
▲これが一番分かりやすい

・海外発送を行っているEC事業者
・海外のユーザーも対象にしたスマホアプリとか出してる事業者
（EUでインストールが可能、ってだけで対象）
▲我が社は自社の専用アプリは出していない！

・EUに在住している個人がウェブアクセスしてきた場合にその人のCookie取得すると、厳密に言うと、実はGDPR対象になる。これにより国際的なターゲティング広告は大ダメージを受ける。

対象になっちゃったら何しないといけないの？

・GDPRに準拠したプライバシーポリシーがまず必要
（作ったポリシー通りに本当に運用しないとダメ）

・DPO（データ保護責任者）の任命が必要（代理人可）

・個人データの削除依頼が来たら、完全な削除を実施しないとダメ
・個人データを引き出して、移したいと言われたら、全部出さないとダメ
（先日のWordPressのバージョンアップはこの機能が付いたはず）

・リタゲで使われることに異議を唱えられたら、すべてのリタゲからその人を外さないといけない！（コレがシステム的に超面倒）
▲これがEU側が最も実施したがってる内容の一つ

・リタゲで使う場合、5月25日以前に取得した個人情報だったとしても、当時の規約がGDPRに準拠していないなら「再度オプトイン」して承認取らないといけない（※EUの人に対してね）

▲Googleが出してる例

※現時点で、特定の個人をリタゲから外す手段が、各広告サービスから、リリースされていないと思います。これはいずれリリースされるでしょう・・・

なんでそんなに慌ててるの？

・GDPRを違反すると巨額の制裁金が課されます

＜軽度＞1000万ユーロまたは全世界年間売上の2％の高い方
＜重度＞2000万ユーロまたは全世界年間売上の4％の高い方

1000万ユーロは約13億円。2000万ユーロは約26億円！

もちろん、上記の2パターン以外の軽度な制裁もあるが、やはり大規模な制裁が設定されていることが重要。

え～？そんなの日本の、中小企業には実際制裁こないでしょ？

・来ない・・・とは言い切れないから対応が必要、と考えられています
・仮に、対応しなくて制裁金が来た場合、上場企業であれば誰の責任なのか・・・

・見せしめの巨額の制裁金が課される例は絶対に来ますが、それ以外に、敢えて少額の制裁金を乱発する可能性もあります（制度の浸透を図る目的）

そう、責任問題という後ろ向きな理由により、一斉に上場企業が取り組みを始めています・・・。おせーな。（人のこと言えないけど）

とまぁ、GDPRについてはこのくらい知っておけば良いかと。対象となる個人情報に、Cookieが含まれるのが重要。

あとは、なぜEUがこういう制度を入れたかったのか、その背景の理解。アメリカへのアンチテーゼと、ゲームチェンジ。

企業によっては、欧米からのアクセスを遮断する選択をする極端なところもあるそう。元々利益貢献とか売上貢献に寄与してなければ、それも一つの手段のようですね。

参考共有：日経のGDPR対応

最後に、今日、日経から来たメールを貼ります。ぶっちゃけ、この日経の対応も「場当たり的」な対応です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■　日経からのお知らせ　2018.5.29　■□■
【重要】日経ＩＤプライバシーポリシーのGDPR対応について
━━━━━━━━━━━━━━━━━━━━━━━━━━━

いつも日本経済新聞電子版をご利用いただき、ありがとうございます。

　日本経済新聞社は欧州連合（EU）の一般データ保護規則（GDPR）施行に伴い、EU（アイスランド、リヒテンシュタイン、ノルウェーを含む）にお住まいの日経ＩＤご利用者向けのプライバシーポリシーを整備しました。ご利用者の個人データはGDPRに則って適切に取り扱います。　EU限定版のプライバシーポリシーはこちらからご確認いただけます。

　▼EU限定版の日経ＩＤプライバシーポリシー
　⇒https://www.nikkei.com/lounge/help/privacy.html#privacy_eu