2018 年以降、ヨーロッパおよび国内のデータ保護については一般データ保護規則 (GDPR) が全方位的に規制しています。特に、オンラインストアを運営する E コマース企業は、個人データの扱いについて多くの要件に従う必要があります。

この記事では、GDPR が導入された理由、規制の主な規定、およびそれが E コマースビジネスに及ぼす影響をご紹介します。また、企業が GDPR に従って満たす必要のある要件と、満たさなかった場合に適用される罰則についても説明します。

この記事の内容

• GDPR が導入された理由
  
• GDPR の主な規定
  
• E コマースにおける GDPR の重要性
  
• GDPR 規制に準拠するために、E コマース事業者が満たさなければならない要件
  
• GDPR に準拠しなかった場合に企業に科せられる罰則
  

GDPR が導入された理由

GDPR は、欧州連合 (EU) 全体でデータ保護を標準化し、デジタル化が進む世界における個人データの保護を改善するために導入されました。GDPR が施行される前は、EU 加盟国にはさまざまなデータ保護法がありました。そのため、保護レベルに大きな違いが生じ、多国間で事業を展開する企業はそれらへの対応に苦慮していました。GDPR は、EU 加盟国のすべてに適用される統一的な法的枠組みを制定しています。

GDPR の主な目的は、個人データの処理に関して個人を保護することです。この規制は、データの取り扱いに対する市民の信頼を向上させることを目的としています。GDPR により、EU の企業は一律のデータ保護基準に従えば済むようになり、事業運営の効率化を実現できます。

ドイツでは、GDPR が施行されるまで連邦データ保護法 (BDSG) によってデータ保護が規制されていました。この法律は、GDPR が加盟国に一定の裁量を与えている領域において、GDPR を補完するものと見なされています。

GDPRの主な規定

GDPR は、11 の章と 99 の条文で構成され、いくつかの重要な規定が収録されています。ここでは、最も重要なものについて概要をご紹介します。

データ処理の原則

GDPR 第 5 条は、個人データの処理に関する原則を規定しています。データは特に次の要件を満たす必要があります。

• データ主体に対して合法的かつ明確に処理されること
  
• データ収集および処理の目的が指定され、その目的が明示的かつ合法的であること
  
• 各目的に応じた必要な範囲のみで処理されること
  
• 最新かつ正しいこと
  
• 処理目的から見て不要になった場合は削除すること
  
• 不正アクセス、紛失、破壊を防止するため、技術的および組織的な対策を講じて保護すること
  

処理の合法性

GDPR 第 6 条は、以下の法的根拠のいずれかが適用される場合にのみデータを処理できると規定しています。

• データ主体の同意がある
  
• データ主体との契約がある
  
• 法的義務に従うために処理が必要である
  
• データ主体または他の自然人の重大な利益を保護するために処理が必要である
  
• 公共の利益のために実施される業務の遂行のために処理が必要である
  
• データ主体の利益または基本的権利が無視されない限りにおいて、管理者または第三者の正当な利益を保護するために処理が必要である
  

データ主体の権利

GDPR の第 3 章は、データの取り扱いに関するデータ主体のさまざまな権利を規定しています。

• データ主体は、保存対象の自分に関する個人データ、その処理方法、共有相手を知る権利を有する (GDPR 第 15 条)。
  
• 不正確または不完全な個人データは、データ主体の要求に応じて修正されなければならない (GDPR 第 16 条)。
  
• データ主体は、一定の条件に従い、自身のデータの削除を請求することができる (GDPR 第 17 条)。
  
• データ主体は、構造化され、一般的な機械で読み取り可能な形式で管理者からデータを受け取る権利を有する (GDPR 第 20 条)。
  
• データ主体は、特にダイレクトマーケティング目的での処理の場合、一定の理由によりデータの処理を拒否することができる (GDPR 第 21 条)。
  

管理者の責任

第 4 章は、管理者と処理者の義務が記載されています。これには、特に以下の義務が含まれます。

• 管理者は、管理者の代理として個人データを処理する担当者も GDPR の要件 (GDPR 第 28 条)を満たしていることを確認しなければならない。
  
• 個人の権利と自由にリスクをもたらしうるデータ侵害は、72 時間以内に責任者から所管の監督当局に報告されなければならない (GDPR 第 33 条)。
  
• データ主体の権利と自由を高度の危険にさらす可能性があるデータ処理については管理者がデータ保護影響評価を実施しなければならない (GDPR 第 35 条)。
  

E コマースにおける GDPR の重要性

E コマースビジネスは大量の個人データを処理するため、GDPR が非常に重要になります。名前、住所、支払い情報、注文履歴などの顧客情報は、オンラインストアの運営に不可欠です。このため、GDPR は E コマースビジネスモデルの設計と法的枠組みに大きな影響を与えることになります。

オンラインショップでの個人データの取り扱いに慎重さを欠くと、データ保護違反を招き、訴訟、規制による制裁、企業イメージの低下につながる可能性があります。そのため、特にオンラインショップの運営者は、GDPR と GDPR によって課される義務を詳細に理解しておく必要があります。

たとえば、注文や配送に必要のない電話番号を収集することはできません。注文された商品の配送と支払いに必要なデータのみ、収集が許可されます。

同様に、ニュースレターに使用される電子メールアドレスなどのマーケティング情報は、顧客の明示的な同意がある場合にのみ収集と使用が許可されます。また、クレジットカード情報の保存は、支払いプロセスの完了に必要な期間のみにする必要があります。生年月日などの情報は、年齢制限のある商品を販売する場合など、年齢確認が必要な場合にのみ収集が許可されます。詳しくは、EC ストアの決済に関する基礎知識をご覧ください。

GDPR 規制に準拠するために E コマース事業者が満たさなければならない要件

E コマースビジネスは、さまざまな要件を満たして GDPR 規制に従う必要があります。こうした要件は主に、前述のデータ主体の権利 (GDPR 第 3 章) と管理者の義務 (GDPR 第 4 章) から導き出されたものです。

プライバシーポリシー

E コマース ビジネスは、包括的なプライバシー ポリシーを提供する必要があります。収集される個人データ、収集の目的、その処理方法、データ主体が有する権利を透明かつ包括的に説明する必要があります。プライバシーポリシーはすぐ見つかるようにしなければなりません (例:ウェブサイトのフッターや、ページにアクセスする際の直接リンクなど)。GDPR 第 13 条は、GDPR に準拠したデータ保護宣言に必須のすべての情報が網羅されています。必須の情報には以下が含まれます。

• データ管理者の名前および連絡先
  
• 適用可能な場合は、データ保護責任者の氏名および連絡先の詳細
  
• 個人データ処理の法的根拠と目的
  
• データ処理が管理者の正当利益に基づく場合、管理者の正当利益の表示 (GDPR 第 1 条 (1)(f) を参照)
  
• 開示する場合の個人データの受領者
  
• 個人データの保存期間
  
• アクセス、修正、消去、異議申し立て、取り消し、処理の制限の権利を含む、データ主体の権利
  
• 個人データを提供しなかった場合の結果の説明
  

Cookie ポリシー

契約の履行に必要のない個人データの処理には、ユーザーのインフォームドコンセントが必要です。これは特に、Cookie の使用に適用されます。Cookie とは、ユーザーのブラウザに一時的に保存されるテキストファイルです。たとえば、ウェブサイトでユーザーに適切な言語を表示したり、ショッピングカートの内容を保存したりするためには、技術的に Cookie の使用が必要とされます。

Cookie は、ウェブサイトが適切に機能するために不可欠であり、パーソナライズ広告のためのユーザープロフィールの作成に使用されます。これは、統計データや個人データが保存されるため、場合によっては重要になることがあります。このため、ユーザーには、Cookie の保存と処理に同意する機会が与えられなければなりません。クッキーの設定を拒否または調整するオプションを提供する場合は単純な「Cookie バナー」のみで十分です。

技術的および組織的対策

特に、第三者のアクセスから個人データを保護するために、オンラインショップは技術的なセキュリティ対策を講じる必要があります。これには、たとえば、ハイパーテキスト転送プロトコルセキュア (HTTPS) によるデータ送信の暗号化などが含まれます (GDPR 第 32 条)。このためには、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) 証明書が必要です。また、オンラインショップは、確実に個人データが安全に保管されるようにしなければなりません (データベースの暗号化など)。データのバックアップも必須です。

広告および情報提供への同意

顧客のメールアドレスは、ニュースレター、広告、または情報提供の送信に自動的に使用することはできません。これには、顧客からの有効な同意が必要です。GDPR の発効に伴い、同規則の第 7 条および第 8 条に基づき、ダブルオプトイン手続きが義務付けられています。「オプトイン」は、大まかに「何かを決める」または「選ぶ」と言い換えることができます。ダブルオプトインでは、顧客が 2 回確認することが求められています。たとえば、最初にニュースレターの受信を希望するかどうかを尋ねる必要があります。登録とそれに関連するメールアドレスの送信によってこれが確認された場合、2 番目の手順に続きます。企業がオファーを有効にするには、クリックする必要がある確認リンクを送信しなければなりません。

データ処理契約

外部サービスプロバイダーがオンラインショップの個人データを処理する場合は、データ処理契約を締結する必要があります。これは、データをサードパーティに転送するための必須要件です。データ保護契約により、サードパーティも GDPR に準拠しなければならなくなります。オンラインショップの一般的なサービスプロバイダーは、決済サービスプロバイダーまたはクラウドサービスとサービスとしてのソフトウェア (SaaS) ソリューションのプロバイダーです。

このような場合に決済プロセスの円滑化を実現する既製の決済フォームである Stripe Checkout の利用価値があります。Checkout は、ウェブサイトに連携させることも、顧客を Stripe がホストするページにリダイレクトすることもできます。そこでは、支払いやサブスクリプションを簡単かつ安全に受け付けることができ、GDPR への準拠も確保されています。

データ保護責任者の指名

GDPR 第 37 条に従い、一定の条件においてはオンラインショップのデータ保護責任者の指名が義務付けられています。この責任者は、GDPR への準拠の状況の監視を担当し、また、監督当局やデータ主体の連絡先としての役割を果たします。

GDPR に準拠しなかった場合に企業に科せられる罰則

GDPR 第 83 条によると、企業がデータ保護規則に違反した場合、重い科料に処せられる可能性があります。その額は最大 2,000 万ユーロで、全世界の企業の年間売上高の 4% に相当します。たとえば、意図的、故意、または過失により、送信者またはメッセージの商業的性質を隠すことは行政に対する犯罪になります。法律に違反して個人データを収集、処理、または保管する行為も同様です。さらに、データ主体には、常にデータの収集について通知しておかなければなりません。