GDPRは “General Data Protection Regulation” の略で、一般データ保護規則の事である。EUが5月25日に施行した新しい個人情報保護にまつわるルールであり、『個人データ』の『処理』と『移転』に関する法律だ。
『個人データ』とは、氏名、位置データ、メールアドレス、クレジットカード情報、IPアドレスなどのオンライン識別子、写真、勤務先の電話の内線番号などであり、『処理』とは、個人データの収集や保存、変更、開示、削除、リストの作成など、保護対象の個人データに行われるあらゆる作業の事で、『移転』とは、EEA域(欧州経済領域)外で個人データを閲覧可能にする行為の事である。EEA域内からEメールでの個人データを含む電子文書をEEA域外に送付したり、EEA域内のクラウド上に保管する個人データを日本からアクセスして日本で閲覧することなど、EEA域内から個人データが物理的に移動していない場合でも『移転』とみなされる。
この法律は、企業規模にかかわらず適用範囲が広く、顧客の情報だけでなく、欧州で働いている社員の情報も対象になる。旅館・ホテルや観光施設、民泊のリザベーション業務にかかわる観光庁や厚労省、国交省が注意喚起しないのでまとめてみた。
直接影響を受けるのは、EU加盟諸国28カ国に3カ国を加えたEEA31カ国、つまりEEA域内に子会社や支店などの拠点を持つ企業となる。また、EEA域内の個人に商品やサービスを提供している企業や、EEA域内の企業から個人データの処理を受託している企業も対象となる(英国はブレグジット後も有効だ)。しかし、5月30日の日経新聞の解釈によると、たとえば、欧州に現地法人を置いていない企業であっても、現地の見本市に出展して来場者と名刺交換した場合、個人情報の域外移転として適用対象となる可能性があるという。
観光業界ならば、EEA域内に所在するお客さんが、EEA域内から日本の予約サイトを利用して日本国内の宿泊先を予約した場合、GDPR対象は予約サイト事業者となるが、日本の宿泊施設に直接予約してきた場合、GDPR対象はその宿泊施設となる。既に関西の老舗有名旅館では、これまで複数の欧州言語を含めた多言語サイトで予約を受け付けていたが、GDPRの中身を知り、日本語と英語のみの対応に絞るという。複数の欧州言語で予約を受付けようとしていると、GDPR対象とみなされる可能性があると判断したためだ。
旅行業界ならば、インバウンドの取扱いで日本の本社がEEA所在者に航空券や鉄道チケット、パッケージ旅行などをオンライン販売する場合、GDPRが適用される可能性がある。2016年6月には、不正アクセスにより『JTB』で最大679万人分の顧客情報が流出した可能性があることが発覚、物流や旅行代理業務を手掛ける『札幌通運』でも同月、顧客のクレジットカード情報が一部流出したが、このようなケースの場合は深刻な問題となる。会社の存続を揺るがしかねない罰則があるからだ。
5月26日のAFPによると、これにより、ロサンゼルス・タイムズやシカゴ・トリビューンなどの電子版が欧州からは閲覧できなくなり、GDPRに適合させてアクセス再開対策を検討中だとの説明が表示されている。5億人のEU市場を規制するGDPRに違反した企業は、最大2000万ユーロ(約26億円)または年間世界売上高の4%のどちらか高い方の制裁金が科される可能性があるのだ。
この法律のポイントは、EEA域内に所在する人のプライバシーを侵害しているかどうか。
個人データの取得から廃棄までのライフサイクルを管理することが必要である。
(O・H・M・S・S「大宇陀・東紀州・松阪圏サイトシーイング・サポート」代表)