日本企業はこれまで、ウェブサイトの「クッキー」が個人情報であるとの認識は持たず、保護の対象としてきませんでした。しかしEUでは現在、クッキーやIPアドレス、位置情報も、個人情報保護の対象とされ、今後はこの基準がグローバルスタンダードになっていくと想定されます。日本企業はどのように対策するべきでしょうか。情報マネジメントシステム構築のエキスパートが解説します。

個人情報保護で先頭を走るEU

2018年、EUは従来の「EUデータ保護指令」からさらに強い拘束力をもつ「一般データ保護規則」を新たに定めて施行しました。

 

ここで重要なのは、保護されるべき個人データが「氏名、識別番号、位置データ、オンライン識別子、またはその個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つもしくは複数の要素を参照することによって、直接または間接的に識別され得るもの」と非常に広く定義されたことです。

 

したがって、クッキーやIPアドレスなどのオンライン識別子、さらに位置データなども個人データに該当することになりました。

 

しかもこのGDPRは、EU圏内に拠点をおく組織に加え、EUと取引のあるすべての組織を対象として適用されることになっています。

 

EU圏内に子会社や支店、営業所などをおいている企業、EU圏内に向けて商品やサービスを提供している企業、EU圏内から個人データの処理について委託を受けている企業などがすべて対象となります。つまり、EUとの間で事業をしているすべての日本企業が対象となるといっても過言ではありません。

 

GDPRの非常に幅の広い個人情報の定義は、日本ではまだ採用されていません。

 

日本では最も新しい2021年の改正個人情報保護法でも、クッキーやIPアドレスはそれ自体では特定の個人を識別することができないことから、個人情報には該当しないとしているのです。

 

ただし、ほかの情報と容易に照合することができ、それにより特定の個人を識別することができる場合には個人情報に該当するという考え方が採られていますが、EUよりは緩い規定になっています。

 

2020年12月15日付の日本経済新聞の朝刊では「ネットの閲覧履歴がわかるクッキー情報の利用を巡り、消費者からの同意を取り付ける画面を自社サイト上で表示している日本の大企業は5%弱にとどまることが分かった。英国を中心とする欧州企業は8割強、米企業は3割弱で、日本企業の個人情報保護への取り組みの遅れが浮き彫りになった」と報じられました。

 

この数字はクッキーの情報自体を個人情報ではないとする日本の事情を反映しています。

 

しかし、今後はEUレベルがグローバルスタンダードになっていく可能性は高く、EU圏との取引の有無にかかわらず、この範囲まで個人情報をとらえる必要がでてくるのです。そのときになって慌てずにすむように、先手を取って準備しておくことが必要です。実際、日本でも先見の明のある企業は取り組みを開始しています。

 

注目のセミナー情報

【国内不動産】6月1日(土)開催
実質利回り15%&短期償却で節税を実現
<安定>かつ<高稼働>が続く
屋内型「トランクルーム投資」成功の秘訣

 

【事業投資】6月6日(木)開催
年利回り換算7%+売却オプション付き!
全契約「想定利回り以上」の実績(過去9年間)
「低リスク」&「安定収益」を実現する
100%投資型「幼児教室・ベビーパークFC投資」

次ページ中堅・中小企業も、情報セキュリティ管理は「必須」
Pマーク ISMSを取ろうと思ったら読む本

Pマーク ISMSを取ろうと思ったら読む本

仲手川 啓

幻冬舎メディアコンサルティング

経営者、情報管理担当者必読!Pマーク・ISMS取得の流れから注意点、コンサル会社の選び方まで徹底解説! 「低価格」「丸投げでお任せください」と謳い、とにかく受注だけすればよいというスタンスのコンサル会社が多く存在…

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧