GDPRが米国のブランドに与える影響

データの使用（および誤用）は、立法者および法執行当局にとって独特の課題です。 従来の商品やサービスとは異なり、データフローは従来の国際的な境界を尊重せず、技術の変化の速度は、データプライバシー法が常に過度に広範であるか完全に時代遅れであることを意味します。

特に、規制当局は、自国の領土に大きな影響を与えるが、物理的に別の場所に拠点を置く企業のための効果的な執行慣行を開発するのに苦労しています。

これは、現在の合衆国最高裁判所の訴訟である米国対マイクロソフト社の根底にあるテーマであり、最近、米国当局が企業に要求された提供を強制することを効果的に可能にする、データの合法的な海外使用の明確化（CLO​​UD）法の急増につながりました。サーバーが米国内にあるか海外にあるかに関係なく、サーバーに保存されているデータ。

同様に、多くの人がまだケンブリッジアナリティカ/フェイスブックのスキャンダルに巻き込まれています。これは、個人のデータの外国での操作が国内政治に干渉する可能性があることを示しています。

これに関連して、EUの新しい画期的なデータプライバシー法である一般データ保護規則（GDPR）が、EUに拠点を置く企業だけでなく、EU外の多くの企業にも強化されたデータ保護基準を適用しようとしていることはおそらく驚くべきことではありません。

この投稿では、GDPRが米国のブランドにとって何を意味するのか、そしてもしあれば、準備のために今どのようなステップを踏むべきかを調べます。

GDPRとは何ですか？EU法は米国企業にどのように適用できますか？

簡単に言うと、GDPRは、組織がデータを収集、保存、処理する方法を規制することにより、EU市民の個人データを保護しようとするEU法の一部です。

一般的にEU外に拠点を置く企業を規制していなかった前身のデータ保護指令とは異なり、GDPRは、処理活動が次のいずれかに関連するEU内のデータ主体の個人データの処理に適用されます。またはEU内のそのようなデータ主体へのサービス（データ主体の支払いが必要かどうかに関係なく）。 または、EU内で行われる限り、彼らの行動を監視します。

つまり、GDPRは、米国に本社を置く可能性のある多国籍企業や、EUに直接事業を展開している米国企業だけでなく、そうでない多くの米国企業にも関連しています。 オンラインのコンテキストでは、GDPRは次の場合に関連します。

• EUで強力なインターネットプレゼンスを持っている（EUに直接販売していなくても）
• あなたはEU通貨を受け入れる、および/またはEUドメインサフィックス（.co.uk、.fr、.deなど）を持っているeコマース会社です。
• EUの訪問者がいて、Webサイトでパーソナライズを行っています。

これを間違えるコスト

上記のいずれかが組織に当てはまる場合は、データ処理の慣行を注意深く確認し、GDPRがオンラインアクティビティに適用される可能性が高いかどうかを判断する必要があります。 これが非常に重要である理由の1つは、新しい規制の下で多額の罰金が科せられるためです。

GDPRは、新しい規則に準拠していない企業に重大な罰則を導入します。 罰金は最大2,000万ユーロ、または組織の全世界の売上高の4％に達する可能性があります。

EUの規制当局が、EU諸国に恒久的に存在しない米国企業にこれらの罰則をどのように課すかはまだ不明ですが、罰金の可能性の大きさは、米国のみの企業でさえ新しい規則を真剣に受け止めるべきであることを意味するはずです。

コンプライアンスは単純な場合もありますが、単なるチェックボックスの演習ではありません

一般に信じられていることとは異なり、GDPRへの準拠は、膨大なリソースなしで簡単に達成できます。 ただし、これは簡単なチェックボックスの演習ではなく、一部の手順では、組織内の複数の利害関係者からの入力が必要になる場合があります。

新しい要件のより詳細なガイドについては、英国の規制当局がGDPRの概要を公開しています。これは、この新鮮なものに到達する場合の優れた出発点です。 ただし、EUのデータ保護法に慣れていない企業の場合、GDPRに準拠するには、データの概念化方法を根本的に変える必要があります。

1.）個人データとPII

GDPRに基づく「個人データ」の定義は、同様の米国の「個人を特定できる情報」（PII）の概念よりもはるかに広範です。

PIIは、米国で理解されているように、通常、名前、社会保障番号、生年月日と出生地、生物測定、医療、教育、財務、雇用の記録などの識別子に限定されます。 対照的に、EUの個人データとは、特定された、または特定可能な自然人、または「データ主体」に関連する情報を意味します。 これには、米国のPIIの定義に含まれる識別子が含まれ、さらに、電子メールアドレス、Cookie ID、IPアドレス、閲覧習慣、位置データなどのオンライン識別子が含まれます。

実際には、この個人データの広い定義は、Webサイトのパーソナライズなどのアクティビティが、ユーザーのCookie IDまたはIPアドレスに基づく分析の基本的な使用のみを含む場合でも、GDPRによって捕捉されることを意味します。

2.）データ保護の原則と同意

GDPRは、企業が個人データの収集と使用に正当な関心を持っていることを認識しています（たとえば、訪問者が企業のWebサイトをどのように操作するかを理解するため）。 ただし、その際、企業は、データ主体の透明性を確保するなど、特定の「データ保護原則」に従う必要があります。

さらに、データを収集する前に訪問者の同意が必要になる場合があります。これは、GDPRの下では、オンラインのプライバシーに関する声明を参照するだけでは不十分です。 GDPRは、黙示の同意と事前にチェックされたボックスを廃止し、データ主体が同意を求められている内容を完全に理解して同意したことを示す責任を企業に負わせます。

3.）所有権

ウェブサイトから収集されたすべてのデータが通常そのウェブサイトの所有者に属すると見なされる米国とは異なり、EUでは、個人データは関連するデータ主体に属します。 したがって、その個人には、データの処理方法を制御する権利があります。これは、GDPRに基づくデータ主体がデータにアクセスし、コピーを取り、企業にデータの削除を要求する広範な権利に反映されています。 企業は、厳格な期限に従ってそのような要求に応じる必要があります。または、地域の規制当局からの潜在的に厳しい執行措置に直面する必要があります。

同様に、サードパーティが関与する場合も、はるかに厳しい要件が導入されます。 特に、データ主体は、データが共有されている企業に通知する必要があり、組織は、適切なレベルのデータセキュリティを保証できるサードパーティのみを関与させることができます。 これは、GDPRのコンテンツ要件を満たす特定の契約上の事務処理によって証明される必要があります。 これらの概念の違いを理解することは、GDPRに準拠しようとしている企業にとって重要です。

まとめ

GDPRは、EUだけでなく世界中で、企業がデータを操作する方法を変えるでしょう。 米国のブランド、特にインターネットでの存在感が強いブランドは、データ処理の慣行を注意深く検討し、GDPRがオンライン活動に適用される可能性が高いかどうかを判断する必要があります。 新しい規制の下での多額の罰金を回避するために、懸念事項はGDPRの発効日のかなり前に弁護士と話し合う必要があります。