日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ

日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ その他
スポンサーリンク


日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ

本記事は、EY JapanおよびJETROのハンドブックに掲載されている解釈を、日本語ブログ運用に関わりがあるところを抜粋してまとめたものであり、本記事においての回答が法的根拠が無いことに留意してください。

2016年5月4日付のEU官報に掲載、2016年5月24日に発効、行政罰を伴う適用開始(実質的な施行日)が2018年5月25日の、EU一般データ保護規則、General Data Protection Regulation(以下GDPR)ですが、施行日が近づいてきたことから、SNSでも話題になりつつあります。

GDPRとは?

GDPRとは、EUを含む欧州経済領域(EAA)領内で取得した「氏名」や「メールアドレス」、「クレジットカード番号」などの個人データをEEA域外に移転することを原則禁止とする法律で、違反して警告などを無視した場合、非常に高額な制裁金が課せられます。

個人の定義
EEA域内の所在者全般を指し、現地進出の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員を含む
対象国
EUの28カ国および、EEAに含まれるリヒテンシュタイン、アイスランド、ノルウェーが対象となる

理解すると怖い域外適用

日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ
GDPRが脅威とされている点は、第3条第2項にある域外適用です。

こちらは、EU加盟国で利用されている言語もしくは通貨を利用して、商品やサービスの提供を行っている場合、域外適用の対象となります。

例えば、フランス語でサイトを表記し、ユーロ建てで商品またはサービスを提供していることなどが該当します。

「商品またはサービスを提供している」こととありますが、これは商品やサービスへの支払の有無は考慮されません

ですので、表示されているだけで商品、サービス提供を行っていると見なされます。

サービスや商品を提供していないサイトであれば、EU圏内またはEAA圏内のユーザーがアクセスできる、メールでコンタクトが取れる等は域外適用には該当しません。

日本国内向けのサイトを日本語で運用している場合は?

日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ
GDPRの第3条(地理的範囲)第2項を見てみると、EU在住のデータ主体に対する商品またはサービスの提供を行っている場合がGDPRの適用対象となる、とあります。

つまり、EU域外で使用されているローカル言語(日本語)にのみ対応したサイトはGDPRの適用対象とならないと整理できます。

なので、日本語で運用されておりかつ、日本国内向けのサイトであれば、例え日本語が理解できるEU域内居住者や、訪日観光客がアクセスしてきても、GDPRの適用対象にはならないものと解釈できます。

まとめ

ひとまずは、日本語のみで運用されていて、日本国内向けのサービスや商品を紹介しているサイトであれば、特に問題無いと認識できます。

SNSでは何でもかんでも対象になるからEU域内のアクセスはブロックすれば良い、との情報も見受けられますが流石にそれは早計なのでは、といったところでしょうか。

ただ、日本語と英語を両記した日本観光旅行サイトなどは、対象となり得るのでしょうか。

この解釈であれば、特に問題無いようにも見受けられます・・・

既に日本語と英語を両記した、個人ブログ形式の日本観光旅行サイトを運用しているので、一度JETROに問い合わせてみようかなと考えています・・・

Source: EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編) / JETRO | 第13回 インターネットサービス企業でのGDPR対応の進め方 / EY Japan

コメント