日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ

日本語ブログを運用する場合の、GDPR解釈についての個人的まとめ

2016年5月4日付のEU官報に掲載、2016年5月24日に発効、行政罰を伴う適用開始（実質的な施行日）が2018年5月25日の、EU一般データ保護規則、General Data Protection Regulation（以下GDPR）ですが、施行日が近づいてきたことから、SNSでも話題になりつつあります。

GDPRとは？

GDPRとは、EUを含む欧州経済領域（EAA）領内で取得した「氏名」や「メールアドレス」、「クレジットカード番号」などの個人データをEEA域外に移転することを原則禁止とする法律で、違反して警告などを無視した場合、非常に高額な制裁金が課せられます。

理解すると怖い域外適用

GDPRが脅威とされている点は、第3条第2項にある域外適用です。

こちらは、EU加盟国で利用されている言語もしくは通貨を利用して、商品やサービスの提供を行っている場合、域外適用の対象となります。

例えば、フランス語でサイトを表記し、ユーロ建てで商品またはサービスを提供していることなどが該当します。

「商品またはサービスを提供している」こととありますが、これは商品やサービスへの支払の有無は考慮されません。

ですので、表示されているだけで商品、サービス提供を行っていると見なされます。

サービスや商品を提供していないサイトであれば、EU圏内またはEAA圏内のユーザーがアクセスできる、メールでコンタクトが取れる等は域外適用には該当しません。

日本国内向けのサイトを日本語で運用している場合は？

GDPRの第3条（地理的範囲）第2項を見てみると、EU在住のデータ主体に対する商品またはサービスの提供を行っている場合がGDPRの適用対象となる、とあります。

つまり、EU域外で使用されているローカル言語（日本語）にのみ対応したサイトはGDPRの適用対象とならないと整理できます。

なので、日本語で運用されておりかつ、日本国内向けのサイトであれば、例え日本語が理解できるEU域内居住者や、訪日観光客がアクセスしてきても、GDPRの適用対象にはならないものと解釈できます。

まとめ

ひとまずは、日本語のみで運用されていて、日本国内向けのサービスや商品を紹介しているサイトであれば、特に問題無いと認識できます。

SNSでは何でもかんでも対象になるからEU域内のアクセスはブロックすれば良い、との情報も見受けられますが流石にそれは早計なのでは、といったところでしょうか。

ただ、日本語と英語を両記した日本観光旅行サイトなどは、対象となり得るのでしょうか。

この解釈であれば、特に問題無いようにも見受けられます・・・

既に日本語と英語を両記した、個人ブログ形式の日本観光旅行サイトを運用しているので、一度JETROに問い合わせてみようかなと考えています・・・

Source: EU一般データ保護規則（GDPR）に関わる実務ハンドブック（入門編） / JETRO | 第13回　インターネットサービス企業でのGDPR対応の進め方 / EY Japan