GDPR ガイド: 一般データ保護規則

公開: 2021-03-09

一般データ保護規則 (GDPR) は、2018 年 5 月に成立し、過失または悪意のある人物によるデータ侵害から市民を保護しようとしました。 欧州の規制は、デジタル環境を消費者にとってより安全なものにしようとしている多くの規制の 1 つです。カリフォルニア州の CCPA、ブラジルの LGPD、中国の PIPL、カナダの PIPEDA です。

GDPR は、データ プライバシーに関するヨーロッパでの社会的関心の高まりへの対応です。 欧州連合は、この規則を使用して、規則の厳格な施行、調査権限、違反またはデータ侵害の場合の多額の罰金により、EU および欧州経済地域におけるデータ保護を保護しています。

GDPR は、消費者に次のようなデータ保護を提供します。

  1. 知らされる権利
  2. アクセス権
  3. 修正の権利
  4. 消去する権利
  5. 処理を制限する権利
  6. データポータビリティの権利
  7. 反対する権利
  8. 自動化された意思決定とプロファイリングに関する権利

GDPR コンプライアンスを気にする必要がある人

言うまでもなく、あなたがヨーロッパの企業、またはヨーロッパでビジネスを行う企業であれば、GDPR の要件を認識する必要があります。

米国の企業は GDPR にも注意を払う必要があります。これは、この規制はヨーロッパ固有のものですが、ヨーロッパの消費者のデータを扱う EU および EEA 以外の企業にも影響を与えるためです。 世界経済は孤立しておらず、多くの波及効果があります。 責任を回避するために、協力するベンダーをチェックして、コンプライアンス要件を満たしていることを確認する必要があります。

あなたが e コマース企業である場合、マーチャントとしてのあなたは、消費者のデータを担当するデータ管理者です。 協力する適切なパートナーを選ぶことは、完全なコンプライアンスを達成する方法の一部になります。 たとえば、Shopify には、GDPR 関連のリソースがたくさんあり、義務を理解し、自身のコンプライアンスを実証するのに役立ちます。

米国の消費者も、GDPR に関心を持つ必要があります。 GDPR は、ヨーロッパ市民だけでなく、休暇やビジネスでヨーロッパを訪れる人など、ヨーロッパでデータが取引されるすべての消費者の保護を保証します。 また、米国で保護されているデータと保護されていないデータの種類を確認するのにも役立ちます。

データ保護に対する消費者の態度

RSA Data Privacy & Security Report は、フランス、ドイツ、イタリア、英国、米国の 7,500 人を超える消費者を対象に、「プライバシー、データ、および規制が企業との関係に与える影響」について調査しました。

オンライン マーケターへの不信感とハッカーへの恐怖を示しており、「回答者の 40% 以上が、オンラインで製品やサービスにサインアップする際に個人情報やデータを改ざんしたことを認めている」ため、売り込みや機密データの紛失を避けることができました。

回答者の 80% が、データ侵害でデータが漏洩する懸念として金融および銀行情報を挙げており、パスワード (76%) やパスポートや運転免許証などの身元情報 (72%) も懸念しています。

その他の興味深い人口統計には、ドイツの回答者の 51% が自分の遺伝子データを保護しており、若いミレニアル世代 (18 ~ 24 歳) の 51% が個人情報が恐喝に使用されることを懸念していることが含まれています。

消費者が信頼できるオンライン スペースを構築することが不可欠ですが、企業がデータ セキュリティの慣行を改善するインセンティブもあります。顧客データの保護。

ボイコットの脅威は、企業が自主規制するインセンティブとして十分ではないかもしれませんが、ヨーロッパ諸国は、企業がデータ セキュリティの問題を真剣に受け止めることを強いる実質的かつ進歩的な規制の枠組みを開発しました。問題の深刻さを証明するための巨額の罰金。

GDPR で保護される個人データの種類

GDPR の幅広いコンプライアンス規制の一環として、企業は次のような消費者データを保護する必要があります。

  • 名前、住所、ID 番号などの個人を特定できる情報 (PII)。
  • IP アドレス、Cookie データ、RFID タグなどの Web データ。
  • 健康と遺伝子データ。
  • 政治的意見。
  • 性的指向。

GDPR の利点

GDPR は徹底的かつ進歩的です。 課せられた高額の罰金は Google を悩ませたかもしれませんが、それは目的を達成するための手段であり、消費者を保護し、より良いシステムを設計する責任を企業に負わせる、より安全で安全なデジタル環境を実現するための手段です。 Apple の CEO であるティム・クックは、「これは世界中の法律であるべき」であり、政府は消費者データのプライバシーに対して立場を示すべきだと述べています。

GDPR は北米のすべての企業に適用されるわけではありませんが、データ セキュリティ対策を早期に採用することは、ビジネスにとって有益です。 Forbes 誌に寄稿している Michael Fimin は、GDPR コンプライアンスの 5 つのメリットを認識しています。

1. 強化されたサイバーセキュリティ

GDPR では、「組織は、セキュリティ戦略を特定し、適切な管理上および技術上の措置を講じて、EU 市民の個人データを保護する必要があります。」 これらのプラクティスを実施することで、データが保護され、サイバーセキュリティが向上します。

2. データ管理の改善

データの収集と保管を確認するときは、「組織が保持している冗長で古くて些細な (ROT) ファイルを取り除き」、データを検索できるようにします。 システムが無駄がなく、インデックス可能で検索可能であれば、従業員の効率が向上します。

3.より質の高いリードによるROIの向上

Cookie ポリシーをユーザーがオプトインしなければならないものに変更した場合、データ プールは小さくなる可能性がありますが、そのプール内の全員が、データの使用を許可するために積極的に決定を下さなければならないため、そうする必要があります。より適格であると見なされます。

4. 消費者の信頼

消費者は、自分のデータがオンラインでどのように収集され、使用され、リスクにさらされているかについて懸念しています。 顧客のデータを GDPR の標準に合わせて保護するという米国の要件をはるかに超えることは、顧客の個人データをどれだけ大切にし、データ侵害の脅威をどれほど真剣に受け止めているかを浮き彫りにします。

5. 市場の差別化

アーリー アダプターであることには、多くのメリットがあります。 データ セキュリティの慣行を何度も繰り返してシステムを完成させ、後発の採用者がその領域に参入する前に行うことができます。将来の規制の要件を予測し、義務化または強制可能になる前にコンプライアンスを達成することができます。これにより、大海原で市場の差別化を図ることができます。データ セキュリティに関してまだ動きを見せていない競合他社の割合。 フィミンが言うように、GDPR コンプライアンスは、「人間のプライバシーを大切にする新しいビジネス文化を実装する機会です。 GDPR は、あなたが優位に立つチャンスです。」

GDPR の欠点

このような厳しい規制に対する懸念は、コンプライアンスのコストが、新しい企業からのリスク、イノベーション、ディスラプションに報いる環境と考えられてきたデジタル空間への新しい企業の参入の障壁になる可能性があることです。 急速に拡大する企業は、市場にすでに存在する大規模な競合他社との競争力が低下する可能性があります。

大企業、または大量の個人データを扱う企業の場合、データの保護と欧州当局への準拠を担当するデータ保護責任者の雇用または昇進に関連する費用がかかります。 罰金は多額で思いとどまらせるかもしれませんが、コンプライアンスに関連するコストも同様です. 追加のオーバーヘッドは、SMB にとって死の警告となる可能性があります。

コンプライアンスは、積極的に管理する必要があるものです。 小規模な企業は、大企業と同じ能力でコンプライアンスについていくことができない場合があります。 これにより、これらの大企業がすでに持っている競争上の優位性が維持されます。

企業がデータを収集、保存、使用する方法の制限は、多くの SMB が依存している広告の技術面に影響を与えます。 マーケティング目的の高品質データの洞察がなければ、企業は意図したオーディエンスにリーチするのが困難になり、消費者には関連性の低い広告が表示される可能性があります。 適切な製品が適切な目の前に置かれると、優れた広告は消費者と広告主の両方に利益をもたらします。

GDPR に対するもう 1 つの批判は、行き過ぎであり、過剰な規制により、消費者が常にオンラインで同意を求められる状態になるというものです。 ユーザーに常に Cookie バナーが表示されるか、企業がそもそも機密データを収集せず、代わりに代替データ分析を使用して、Web サイト訪問者にオプトイン要求を行わずにコンプライアンスを達成します。

GDPR コンプライアンスを達成する方法

データのプライバシーは世界的な問題であり、GDPR は EU 居住者のデータを扱うすべての企業に影響を与えます。 Web サイトが分析ソフトウェアを使用してユーザー データを収集する場合、この規制が影響し、データ収集のオプトアウトからオプトインに切り替える必要があります。

収集しているデータを監査します。

処理するデータの種類、データの保存方法、および組織内の誰がデータにアクセスできるかを理解します。 Web サイトからデータを収集するベンダーを監視し、GDPR への準拠に関するベンダーの声明を確認します。

あらゆるレベルでプライバシーに対処します。

システムの設計方法や情報の保存方法だけでなく、アカウントへのローカル アクセス権を持つユーザーにも注意を払う必要があります。

リスクベースのアプローチを取る。

データ セキュリティ コンプライアンスにはコラボレーションが必要です。 組織内の全員から洞察と情報を収集します。 協力して最大のリスクを特定し、その修正に優先順位を付けることで、リスクを効果的に認識し、コンプライアンスを達成できます。

データ管理

ヨーロッパの消費者は現在、個人データの収集方法と使用方法に関する権利を拡大していますが、「データポータビリティ」の権利も持っています。つまり、自分について保持されている個人データのコピーを要求したり、それを要求したりできます。訂正または削除します。

デジタル空間に多額の投資を行い、あらゆるレベルで個人データをやり取りする企業は、規制に簡単に準拠できるようにする慣行と技術を開発する必要があります。

  • デジタル資産を継続的に監視して保護します。
  • 侵害からデータを保護するために、適切な制御を導入します。
  • 「妥当な時間」内にデータ主体がデータを利用できるようにする。

遵守しない場合: GDPR の罰則

GDPR の注目を集める罰則は膨大です。 新しい規則の最初の年に、Google は 5,000 万ユーロの罰金を科されました。 Intersoft Consulting は、GDPR の罰金について、「個々のケースに対して効果的で、バランスが取れており、思いとどまらせる」ように設計されていると書いています。

この規則は、企業に罰則を科すための 2 段階の細かい構造で書かれています。

軽微な侵害は、「最大 1,000 万ユーロ、または事業の場合は、前会計年度の全世界年間総売上高の最大 2% のいずれか高い方の罰金が科せられる」。

重大な違反は、「最大 2000 万ユーロ、または企業の場合は、前会計年度の全世界年間総売上高の最大 4% のいずれか高い方の罰金が科せられる」。

罰則は、以下を考慮して決定される場合があります。

  • 関連する処理の性質の範囲または目的、ならびに影響を受けるデータ主体の数およびそれらが被った損害のレベルを考慮した、侵害の性質、重大性および期間。
  • 侵害の意図的または過失の性質。
  • データ主体が被った損害を軽減するために管理者または処理者が講じた措置。
  • 管理者または処理者が実施する技術的および組織的措置を考慮した、管理者または処理者の責任の程度。
  • 管理者または処理者による関連する以前の侵害。
  • 侵害を是正し、侵害の起こり得る悪影響を軽減するための、監督当局との協力の程度。
  • 侵害の影響を受ける個人データのカテゴリ。
  • 侵害が監督当局に知られるようになった方法、特に、管理者または処理者が侵害を通知したかどうか、また通知した場合はその程度。
  • 第 58 条第 2 項で言及されている措置が、同じ主題に関して関連する管理者または処理者に対して以前に命令されている場合、それらの措置の遵守。
  • 第 40 条に従って承認された行動規範、または第 42 条に従って承認された認証メカニズムの順守。
  • 侵害から直接的または間接的に得られた金銭的利益または回避された損失など、事件の状況に適用されるその他の悪化または緩和要因。

GDPR 違反の平均罰金はいくらですか?

GDPR は 2018 年 5 月に法制化され、その年の残りだけで、合計 55,955,871 ユーロの 91 件の罰金が科されました。 ほとんどの場合、注目を集めているのは注目を集める多額の罰金ですが、すべての GDPR の罰金が公開されたり見出しになったりするわけではありません。 Google に課せられた 5,000 万ユーロの外れ値の罰金をデータから除外すると、企業が直面した平均 GDPR 罰金は約 66,000 ユーロでした。

オランダのデータ保護機関 (DPA) は、2019 年 3 月に違反を罰するためのガイドラインを公開しました。彼らは、違反の重大度に応じて 4 つのカテゴリを持つ段階的な罰則システムを開発しました。

カテゴリー I は、「会社のデータ保護責任者 (DPO) の連絡先の詳細を共有していない、または処理者または共同管理者の責任を適切に記録していない」などの単純または事務的な違反の場合に適用されます。 €0 ~ €200,000 の細かい範囲。 €100,000 の標準的な罰金。

カテゴリ II は、企業が特定の GDPR の義務と要件を満たしていない場合に適用されます。 €120,000 ~ €500,000 の細かい範囲。 €310,000 の標準的な罰金。

カテゴリ III は、企業がユーザーまたはオランダのデータ保護機関 (DPA) に対して透明性を保つことを拒否した場合、DPA への違反の通知を拒否した場合、または DPA への協力を拒否した場合に適用されます。 €300,000 ~ €750,000 の細かい範囲。 525,000 ユーロの標準的な罰金。

カテゴリ IV は、企業が機密データの違法な処理、違法なプロファイリング、またはオランダの DPA からの特定の指令への準拠の拒否に関与している場合に適用されます。 450,000 ユーロから 1,000,000 ユーロの細かい範囲。 €725,000の標準ペナルティ*
*€20,000,000 / 年間売上高の 4% が適用される場合のみ

GDPR 施行の注目すべき事例

2020 年の秋、マリオットとブリティッシュ エアウェイズは、消費者に悪影響を及ぼした 2018 年の個別のデータ侵害を受けて、多額の罰金を科されました。

ブリティッシュ・エアウェイズ | 2,585万ドル | 英国、2020 年

ブリティッシュ エアウェイズは 2,585 万ドルの罰金を科され、40 万件の顧客データがデータ侵害で侵害されました。 情報コミッショナーズ オフィス (ICO) から彼らに科された罰金は、調査の結果、彼らが「適切なセキュリティ対策を実施せずに大量の個人データ」を処理していたことが判明した後、データ セキュリティの脆弱性に対するものでした。

罰金はICOが出した最大の罰金でしたが、Covid-19が航空業界に与えた経済的影響を考慮する前に、ICOは当初2億2900万ドルの罰金を提案していました。 ICO はまた、攻撃後の「IT セキュリティの大幅な改善」と調査官への対応により、BA に功績を認めました。これらは両方とも、元の罰金の合計を引き下げるのに役立ちました。

マリオット・インターナショナル | 2,380万ドル | 英国、2020 年

2020 年、マリオット ホテルは、3 億 3,900 万件のゲスト レコードが流出し、EU 全体で 3,000 万人のユーザーに影響を与えたデータ侵害に対して、2,380 万ドルの罰金を科されました。 Marriott の訴訟で興味深いのは、最初の違反は 2014 年にさかのぼるが、2018 年まで発見されなかったということです。 .」。

ブリティッシュ・エアウェイズの罰金と同様に、マリオットの罰金のわずか数週間前に与えられた英国政府は、Covid-19の経済的影響と、会社の緩和努力とコンプライアンスにより、罰金の総額を1億2,300万ドルから引き下げました.

グーグル| 5700万ドル | フランス、2018

Google は、GDPR の開始以来、フランスのデータ規制当局の怒りを買ってきました。 2018 年、同社は「広告のパーソナライズに関する透明性の欠如、不十分な情報、および有効な同意の欠如」により、5,000 万ユーロの罰金を科されました。

グーグル| 1億2100万ドル | フランス、2020

2020 年後半、フランスの規制当局は再び Google に 1 億ユーロの罰金を科しましたが、Google は現在法廷で金額を争っています。 罰金は、ユーザーが google.fr にアクセスしたときに、「ユーザー側でなんらかのアクションが行われる前に、端末機器に 7 つの Cookie が配置された」ためでした。

アマゾン | 4,200万ドル | フランス、2020

アマゾンはまた、フランスの規制当局から、同じ Cookie 違反で 3,500 万ユーロの罰金を科されました。 フランス当局は、Google も Amazon も「ユーザーに対する事前の明確かつ完全な情報の要件、またはユーザーの同意を得るという要件を満たしておらず、これらの Cookie に対抗するメカニズムに部分的な欠陥がある」と判断しました。

H&M | 4,130万ドル | ドイツ、2020

GDPR 施行の他の注目を集めた例は、データ侵害と企業慣行の影響を受けた消費者によるものでしたが、H&M の罰金は、ドイツの自社従業員を違法に監視したことに対するものでした。

ハンブルグのデータ保護機関 (HmbBfDI) は、同社が従業員の私生活を過度に監視していることが判明した後、GDPR の実施以来、ドイツで最大の罰金を科しました。 少なくとも2014年以来、一部のスタッフは「私生活に関する詳細の広範な記録」の対象となっていました.

「休暇や病気休暇などの不在の後、監督チームのリーダーは、従業員とのいわゆるウェルカムバックトークを実施しました。 これらの話し合いの後、多くの場合、従業員の具体的な休暇の経験だけでなく、病気の症状や診断も記録されました」と HmbBfDI は述べています。 「さらに、何人かの監督者は、個人的およびフロアトークを通じて、かなり無害な詳細から家族の問題や宗教的信念に至るまで、従業員の私生活について幅広い知識を獲得しました。」

2019 年 10 月、内部エラーにより情報に数時間アクセスできた後、データ収集の慣行が公開されました。 ハンブルグのデータ保護と情報の自由に関するコミッショナーである Johannes Casper 博士は、罰金について次のように述べています。

GDPR に関する私たちの考え

GDPR は、消費者を保護するデータ保護の基準を設定する進歩的で包括的な法律であり、個人にとっては良いことです。 罰則は、企業にデータ保護の問題がどれほど深刻であるかを認識させ、違反を思いとどまらせるために、比例的かつ効果的になるように設計されています。

私はヨーロッパ人なので、偏見があるかもしれません。 GDPR は私のヨーロッパの感性と一致しています。 しかし、私の優先事項は、私が価値を提供する企業であり、強化されたデータ セキュリティ プラクティスは、彼らの最善の利益にもなると信じています。

確かに、この変更は、コンプライアンスに迅速に対応できない企業や、特定のリスクを管理するためにコンプライアンスの専門家を雇う費用を負担できない企業にとって、歯が生えるような痛みを伴う可能性があります。 それでも、罰金は、コンプライアンスの専門家に投資するか、少なくとも既存のリスクを監査することを検討するのに十分な費用がかかります.

これは、欧州のデータ執行機関がデータ管理者と協力して、侵害の影響または潜在的な侵害を軽減するのに役立ちます。 彼らは罰則を課すだけでなく、デジタル環境をより安全に、よりスマートに、より改善することを積極的に望んでいます。 デジタル空間に対する消費者の信頼を回復する。 また、個人データに対する権利と保護をユーザーに提供します。

ウェブサイト訪問者へのリマーケティングのオプトイン アプローチを使用すると、リマーケティングがより効率的になる可能性があります。 あなたのリストに載っているユーザーは、そこにいることをオプトインするという意識的な決断をしたので安心できます. 独自のデータを整理および監査するためのシステムを整備することで、データ内の多くのノイズもクリーンアップされます。 冗長で古くて些細な (ROT) データを削除します。 あなたのデータは金であり、あなたはそれを保護したいと思うでしょう、そしてあなたのチームはそれのためにいっそう効率的になるでしょう.

私たちは弁護士ではありません。 サイバーセキュリティの監査とコンプライアンスの達成を支援することはできませんが、GDPR要件を満たすキックアスWebサイトを構築し、データ管理チームと協力して、ブランドに対する消費者の信頼を築き、.あなたのビジネス目標。