GDPRとは
GDPRとは「General Data Protection Regulation」の略で、欧州連合(EU加盟国)で2018年5月に施行されたwebサイトを閲覧するユーザーの個人情報を強化するための規則です。
GDPRが定義する個人情報には、名前や住所だけでなく、IPアドレスやCookieなどのオンライン識別子など、これまでは個人情報とみなされていなかったデータも含まれており、これらの個人情報を取得する場合は、自らの身元や連絡先、処理の目的、第三者提供の有無、保管期間などについてユーザーに明記し、その上で同意を得なければなりません。
オンライン識別子の取り扱いに対して、Appleは「ITP(トラッキング防止機能)」、Googleは「サードパーティCookieのサポート終了(2022年1月頃)」などで対応を進めています。
●GDPRで公式に提示した個人情報の例 ●
氏名 / 住所 / メールアドレス / IDカード番号 /
位置情報 / IPアドレス / Cookie ID / 携帯電話の広告識別子 /
病院や医師が保持するデータであり、個人を一意に識別する象徴となりうるもの
●GDPRで公式に提示されていないが、個人情報に該当する可能性が高い例 ●
取引履歴 / 写真 / ライフスタイルに関連する興味・関心 / SNSへの投稿
b→dashのGDPR適応に対する考え方
b→dashにおいては、b→dashをご契約いただいている企業ごとにGDPR適応有無を判断いただいております。以下にb→dash申込書に記載しております「GDPR適用対象」の考え方を記載いたしますので、参考までにご確認くださいませ。
●契約者様が日本などの欧州域外に所在する企業の場合であっても、以下の(1)~(3)の要件のいずれかを満たす個人情報の取扱いを行っている場合には、GDPRが適用されることとなります。
(1)欧州域内における拠点の活動に関連する個人データの取扱い
(2)欧州域内に所在する個人に向けた商品・サービスの提供に関連する個人データの取扱い
(3)欧州域内に所在する個人に対する行動監視(モニタリング)に関連する個人データの取扱い
●このため、契約者様において、契約者様の欧州域内における子会社や事業所の活動に関連して取得する欧州の個人データ(例えば欧州子会社が取得して契約者様と共有している顧客データ)や、契約者様の欧州域内所在の個人を対象とした商品・サービスの提供に関連して取得した個人データ(例えば欧州顧客向けポータルサイトにて取得した顧客データ)を「b→dash」にて取扱う場合には、契約者様にはGDPRが適用され、GDPRに基づく様々な義務を遵守する必要があります。
(1)欧州域内における拠点の活動に関連する個人データの取扱い
(2)欧州域内に所在する個人に向けた商品・サービスの提供に関連する個人データの取扱い
(3)欧州域内に所在する個人に対する行動監視(モニタリング)に関連する個人データの取扱い
●このため、契約者様において、契約者様の欧州域内における子会社や事業所の活動に関連して取得する欧州の個人データ(例えば欧州子会社が取得して契約者様と共有している顧客データ)や、契約者様の欧州域内所在の個人を対象とした商品・サービスの提供に関連して取得した個人データ(例えば欧州顧客向けポータルサイトにて取得した顧客データ)を「b→dash」にて取扱う場合には、契約者様にはGDPRが適用され、GDPRに基づく様々な義務を遵守する必要があります。