#マンガでわかるGDPR 第1話「GDPRって何だ?」
「最近騒がれているGDPR(ジーディーピーアール)とは?」 「ウチの会社のサービスも対象?」 「違反するとどんなペナルティがあるの? 罰金は?」 そんな疑問をマンガでズバリ解説します。
by 湊川あい(マンガ・解説文)
目次
GDPRって何だ?
GDPRの保護対象
GDPRにおいて、個人データとは、「識別された、または識別され得る自然人に関するすべての情報」と定義されています。
これらのデータを収集、または処理・管理している企業は、EU市民(正確にはEEA市民)の個人情報を保護する責任を負います。
GDPRの目的としては、市民の基本的人権の保護である旨が掲げられています(GDPR第1条)。
GDPR 第4条 定義(1)より引用
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。 ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an 3 identification number, location data, an online identifier or to one or more factors specific to the physical, physiological,genetic, mental, economic, cultural or social identity of that natural person;個人情報は様々な場面で収集されます。マーケティング活動では、見込み顧客から名刺を収集し、製品やイベントの案内を行ったりするでしょう。 Webサービスを運営していれば、ユーザーは氏名や住所を入力します。 採用活動における履歴書の収集も個人情報です。 すべての業務プロセスにおいて、保護するべきデータ項目を特定し、その処理過程を把握しておく必要があります。
1,000万ユーロの制裁金が科されるパターン
- 個人データの取扱いに関し、適切な技術的、組織的安全管理対策を実施しなかった場合(そのような措置を取らない情報処理者に個人データの処理を委託する場合も含む)
- 個人データの処理に関する記録を残すことが義務付けられているにもかかわらず、記録を書面で保持していない場合
- 個人データの侵害(情報漏えい)が発生したにもかかわらず、監督機関に対し適時に通知しなかった場合
- データ保護官の選任が義務付けられているにもかかわらず、任命していない場合
該当すると、最大で企業の全世界売上高(年間)の2%、または1,000万ユーロのうちいずれか高い方の支払いが命じられます。
2,000万ユーロの制裁金が科されるパターン
- 個人データの処理の原則を遵守しなかった場合
- 同意の条件を遵守しなかった場合
- データ主体の権利およびその行使の手順を尊重しなかった場合
- 監督機関の命令に従わなかった場合
該当すると、最大で企業の全世界売上高(年間)の4%、または2,000万ユーロのうちいずれか高い方の支払いが命じられます。
他の企業はどうしてるの?
GDPRに対応しなきゃヤバイってことはわかったわ。でも、実際なにやればいいかわかんないや。
そんなわかばちゃんにはコレ! 日本企業の実例が載ってるよ。 読んでみて!
へぇ〜! ヌーラボさんや日経IDさんは、すでにGDPR対応済みのプライバシーポリシーを公開しているんだ。
すでに日本語の文書があると、参考にしやすいね。
いつ対応すべき?
これ、「X年X月までには対応しておいたほうがいい」みたいな目処はあるのかな?
え……なに悠長なこと言ってるの……?
さっきの僕の話、聞いてた?
ご、ごめん。 なんだっけ?
GDPRは、すでに2018年5月25日に施行されてるんだよ!
だから今すぐ!! 対応したほうがいいの!!
うわ、それは大変。
私のインターンシップ先の会社、海外向けにも通販してるんだよね。
社員さんに伝えてあげなきゃ!
誰が対応すべき?
マーケター・Web担当者がメインで動く。エンジニアや広報、法務部との連携も必要
あ、ちょっと待って。実際、GDPR対応って、社内の誰が担当すればいいんだろう? まさか、社内にGDPR専門の担当者なんていないだろうし。
基本的には、マーケター・Web担当者の仕事だね。
でも実際は、マーケター1人だけで全部できるわけではなく、エンジニアや広報、法務部との連携も必要だ。
結構大規模だね……。
だからと言って知らんぷりはできない問題だよ。
もし、なにもしていない無防備な状態で、いきなり告発されたら……。いずれにせよ対策は必要なんだ。
発想の転換
とはいえ、普段の業務もあるのに面倒じゃない? 気が進まないなぁ。
そこで発想の転換だよ。
GDPRは、プライバシー保護への取り組みを示す絶好のチャンスでもあるんだ。
- マーケティング担当者は、GDPRに対して正しく備えよう
- どのようなデータをどこから取得したかを明確にしておこう
何より、GDPR対応が完了したというプレスリリースを行えば、プライバシー保護への取り組みをアピールする絶好のチャンスとなるでしょう。
「データを削除してほしい」という依頼が個人ユーザーからあった場合にすぐ削除できるよう、プロセスを整備しておくのも会社の役目だよ。
他の部署にも協力してもらいつつ、整備していこう!
・・・・・・。
あれ?わかばちゃん、どうしたの?
「GDPR対応が完了しました!」ってプレスリリースを打って、他の会社のWeb担当者から「御社スゴーイ!カッコイイ」って褒められる妄想してた。
GDPRのことまだ全然知らないのに!?
わかばちゃんって、そういうところぶっ飛んでるよね〜。
次回からは、GDPRという法律に具体的に何が書いてあるか、より詳しく深めていこう。
無料プレゼント中! Googleアナリティクス完全ガイド
- 無料でダウンロード可能!
- 121ページと大ボリューム!
社内研修でも使われているGoogleアナリティクスのPDFが無料!? ダウンロードしておいて損はないね
キャラクター紹介
伊呂波(いろは)わかば
Webデザイナーを目指す大学生。趣味は盆栽。
わかばちゃんと学ぶ Webサイト制作の基本以降、HTMLちゃんをはじめとする謎の生命体と同居している。
最近はインターンシップの傍ら、DockerやUnityを勉強中。
HTMLちゃん
わかばちゃんの家に住み着いている謎の生命体。
見た目に反してWebの知識は深いが、シュークリームの味を知らないなど、世間知らずな面もある。
書籍『わかばちゃんと学ぶ』シリーズに多数登場。
マンガでわかるGoogleアナリティクスが書籍化しました
KOBITブログで連載している「マンガでわかるGoogleアナリティクス」が、書籍化しました! 8割以上が書籍限定の内容です。 全国の書店様・Amazon様で発売中!
わかばちゃんと学ぶ Googleアナリティクス
著者:湊川あい
出版社:C&R研究所
●CHAPTER 1 アクセス解析って何?
●CHAPTER 2 Googleアナリティクス・Googleタグマネージャを導入しよう
●CHAPTER 3 基本的な単位・見方を知ろう
●CHAPTER 4 ユーザーの動向を知りたい
●CHAPTER 5 集客を強化したい
●CHAPTER 6 コンバージョン率を上げたい
●CHAPTER 7 日々の解析をもっとラクにしたい
書籍限定マンガ・図解が盛りだくさん!
他にもある 「わかばちゃんと学ぶ」シリーズ
Webサイト制作に不可欠な「HTML・CSS」
わかばちゃんと学ぶ Webサイト制作の基本
著者:湊川あい
出版社:C&R研究所
バージョン管理ツール「Git」
わかばちゃんと学ぶ Git使い方入門
著者:湊川あい/監修:DQNEO
出版社:C&R研究所
次回、第2話へ続く
次回は、具体的なGDPRの内容について深めていくよ!
著者紹介
湊川 あい(みなとがわ あい)
絵を描くWebデザイナー。ベンチャー企業で、企画・制作・実行まで戦略を一貫させることの重要性を学ぶ。2014年からインターネット上で「マンガでわかるWebデザイン」を公開していたところ、出版の声がかかる。
マンガと図解で楽しみながら学べるコンテンツを制作・配信中。
この漫画はフィクションです。実在の人物や団体などとは関係ありません。本記事はGDPRの法的解釈を説明するものではありません。あくまでもGDPRの理解を高め、対策を訴求するものです。
2018/8/6 ご指摘をいただき、序盤の箇条書き部分を、GDPR第4条の引用に修正しました。
