top of page

インバウンド事業者様は必見!スモールビジネスのための「GDPR」入門


観光地にたくさんの外国人観光客が訪れる光景は、今やおなじみになりましたね。実際に、2024年の訪日外客数は36,869,900人となり、過去最高を更新しました。


国別では、韓国や中国などからの観光客が多数を占めていますが、EU加盟国やイギリスからのお客様も見かけることが多くなりました。インバウンド事業に携わる皆さんの中には、イギリス、フランス、ドイツ、スペインなどEUからのお客様を積極的に受け入れている方もいるでしょう。


そのようなインバウンド事業者の皆さんが知っておきたい規則が、GDPR(EU一般データ保護規則):General Data Protection Regulationです。


このブログでは、特に小規模のインバウンド事業者にGDPRがどのように影響するのか、何を守らなければいけないのか、分かりやすく解説します。


(なお、イギリスはEUを離脱したので、2021年にUK GDPRが施行されました。内容はGDPRと同等のルールに基づいているため、便宜上、ここでは、EUのGDPRについて説明します。)


GDPRとは何か?


GDPRは、2018年に欧州連合(EU)で施行された個人データ保護のための規則です。「世界で最も過酷なプライバシーとセキュリティの法律」とも言われるほど厳しい内容で​、個人情報(個人データ)の取り扱いに、高い水準の保護を求めています。


具体的には、企業や組織が、EU域内の人(日本人を含む)の個人データを収集・利用・管理する際のルールを細かく定め、データを扱う側に透明性と責任を強く要求しています。また、データの本人(ユーザー側)には、自分の個人データの内容を確認したり削除を求めたりできる権利が与えられており​、個人のプライバシー保護を強化するのがGDPRの大きな目的です。


日本の個人情報保護法と比べて、何が違うの?


GDPRは、日本の個人情報保護法にはない細かいルールや、厳しい罰則規定を定めています。


  • 適用される事業者や組織の範囲が違う


GDPRは、EU域内で活動する事業者や組織だけでなく、EU域内にいる人の個人データを取り扱う、EU域外の事業者や組織にも適用されます。


一方で、日本の個人情報保護法は、日本で活動する事業者や組織が対象です。


  • 保護の対象となる個人データの範囲が違う


GDPRで保護される「個人データ」とは、氏名や住所、メールアドレスといった明らかな個人情報だけでなく、クッキー(Cookie)、IPアドレス、端末固有ID、位置情報、閲覧履歴、購買履歴なども含まれます。


日本の個人情報保護法では、Cookie、IPアドレス、端末固有IDや広告IDなどの識別子、位置情報、閲覧履歴、購買履歴などは「個人関連情報」となり、「個人データ」とは取り扱いが異なります。


Cookieの取り扱いを例にあげてみましょう。GDPRはCookieを取得する場合は本人の同意が必要ですが、日本の個人情報保護法では、一定の要件に該当しなければ、必ずしも本人の同意を必要としません。


  • 罰則の厳しさが違う


GDPRに違反すると、企業規模に関係なく、厳しい罰則が科される可能性があります。最大のリスクは高額の制裁金(罰金)で、その上限額は「2,000万ユーロ(約26億円前後)または全世界年間売上高の4%のいずれか高い方」と規定されています。


日本の個人情報保護法では、個人情報を取り扱う事業者が、個人情報保護委員会の命令に違反した場合、最大で1年以下の懲役または100万円以下の罰金が科されます。従業員が命令違反をした場合、併せて法人にも1億円以下の罰金刑が科される可能性があります。つまり、罰則はあるものの、GDPRほどの高額な制裁金は設定されていません。


この他にも、GDPRでは、「データ処理の法的根拠」、「データポータビリティの権利」など、日本の個人情報保護法よりも厳しい規定を定めているのが特徴です。


日本国内の小規模事業者や個人事業主もGDPRの対象に!


前述のとおり、GDPRはEU域内の企業や団体に適用される規則ですが、その適用範囲はEU域外にも及びます​。


「自分はEUに支店があるような大きな企業じゃないし、関係ないのでは?」


そう思うかもしれませんが、EUに拠点がない事業者であっても、EUにいる個人(EU居住者)の個人データを取り扱う場合には、GDPRが適用される可能性があります​。


GDPR第3条では、域外(EU外)の事業者でも「EUにいる個人に対して商品・サービスを提供する場合」や「EUにいる個人の行動をモニタリング(監視)する場合」にはGDPRが適用されると定められています。


これは、日本国内で営業する小規模事業者や個人事業主であっても例外ではありません。

つまり、「自分は日本でしかビジネスをしないから関係ない!」とは言えず、EUの個人データを扱う可能性があるなら、GDPRを無視できないのです。では、具体的にどういった場合に日本の事業者にGDPRが関係してくるのでしょうか。


日本の事業者にGDPRが適用されるのは、EUにいる人を、「意図的に」ターゲットとしてビジネスを行っているケースです。


例えば、日本人をターゲットとしたウェブサイトに、たまたまEU在住の人から問い合わせがきた、または商品注文が入った程度では「意図的に」ターゲットにしているとは言えないため、基本的にGDPRは適用されません​。

 

(また、GDPRはEU域内にいる個人の個人データが対象となるため、日本を旅行している(日本にいる)EU在住の人が、たまたま旅行先のゲストハウスに泊まったといったケースも、同じく適用はありません。)


スモールビジネスや個人事業主でもGDPRが適用されるケースは?


日本の小規模事業者でも、以下のようなケースではGDPRが適用される可能性があります。特に訪日外国人相手のビジネスをする人や海外向けネット販売をしている人は、次のケースに当てはまらないか確認してみてください。


  • EUの顧客がサイト上で商品購入・決済できる場合


ウェブサイトやECサイトで、ヨーロッパ在住のユーザーが商品を注文し決済できるようになっている場合は注意が必要です。これはまさに「EU域内の個人に商品・サービスを提供している」状況に当たります。


例えば、日本の事業者がサイトを通じてEUのお客様に商品を販売すれば、その取引で取得したお客様の名前・住所・支払い情報などはGDPRの規制対象となります​。サイト上で配送先にEUの国を選べたり、決済通貨にユーロが含まれていたりするなら、EU在住者をお客様として想定していると言えるでしょう。当然、その場合はサイト利用者の個人情報(購入者情報やクレジットカード情報など)をGDPRに沿って適切に扱わなければなりません。


  • EUのユーザーをターゲットにオンライン広告を出している場合


自社の商品やサービスについて、EUの人に向けたオンライン広告を配信している場合も、GDPRが適用される可能性があります。例えば、広告の配信先に、EUの国が含まれている、欧州のユーザー向けに英語・フランス語など多言語で宣伝を行っているようなケースです。こうしたマーケティング活動は「EUの個人にサービスを積極的に提供しようとしている」ことの表れなので、たとえ事業所が日本にあっても、GDPR上はEUユーザーのデータを扱う事業者として義務を負います。実際、GDPRのガイドラインでも、ウェブサイトを多言語対応したり、EUの利用者向けに意図した形跡(例えばEUの通貨表示や欧州向け配送案内)がある場合は「EUのデータ主体をターゲットにしている」と判断されると解説されています​。


  • EU向けの予約システムや会員登録を提供している場合


宿泊施設やツアー会社、飲食店などで、外国人観光客向けにオンライン予約を受け付けている場合も要注意です。例えば、EUからの旅行者が日本に来る前に、ネットでホテルのオンライン予約をするケースがあります。このようにEU在住の人が、事前に氏名や連絡先などの個人情報を入力し、直接申し込みをした場合、申し込みを受けたホテルは、GDPRの規制の対象になる可能性があります。これは、小さな旅館やゲストハウス、バス送迎業者、個人の日帰り旅行ガイドサービス、海外から予約を受け付けるレストランであっても変わりはありません。


スモールビジネス向けの基本的な対応策


では、小規模事業者や個人事業主がGDPRに対応するには具体的に何から始めれば良いでしょうか。ここでは実践しやすい基本的なポイントをまとめます。


  • プライバシーポリシー(個人情報保護方針)の整備


ウェブサイトに、GDPR対応のプライバシーポリシーを用意し公表しましょう​。

プライバシーポリシーには、どのような個人データを収集し何の目的で利用するのか、その法的根拠(同意を得ているか、契約履行のためか等)、第三者提供の有無、データ保持期間、そしてデータ主体(ユーザー)の権利などを明記する必要があります。​


特にEUのユーザーにもサービス提供するのであれば、「ユーザーは自分のデータの閲覧・修正・削除を要求できる」ことや問い合わせ先(データ保護担当窓口)も記載することができます。ポリシーを整備することで、自社がGDPRの基本原則(目的限定、データ最小化、適法な処理等)を守っていることを対外的に示すことができます。


しかし、GDPRについて自分で勉強し、理解するのは大変なので、作成の際は専門家に依頼することをおすすめします。


  • クッキー(Cookie)への対応


サイトでクッキーを利用している場合は、クッキーポリシーを策定し、初めて訪問したユーザーにクッキー利用の同意を取得する仕組み(クッキーバナー)を導入しましょう​。


特にトラッキングクッキーや解析ツール(Googleアナリティクス等)を使っている場合、EUからの訪問者に対して、クッキーバナーをポップアップで表示し、「クッキーを使用して良いか」明示的に同意を得るのが望ましいです。ユーザーが同意しなかった場合は不要なクッキーを発行しない設定にするなど、プライバシーに配慮した設計を行います。


  • フォームでの同意チェック


お問い合わせフォームや会員登録・予約フォームなどで個人データを入力してもらう際には、「個人データの取り扱いに同意する」チェックボックスを設けましょう​。


特にメールマガジンの登録やプロモーションへの利用など、単なるサービス提供以上の目的でデータを利用する場合には事前に明確な同意が必要です。チェックボックスによる同意取得は、ユーザー本人の意思を確認する手段としてGDPRで求められる水準です。同意文には何に同意するのか分かりやすく書き、チェックが入っていない状態で送信できないようにしておきます。


  • データの安全管理と漏えい防止


取得した個人データは厳重に管理し、第三者への漏えいや不正アクセスを防ぐ対策を講じましょう​


具体的には、パソコンやサーバーのセキュリティソフト導入、通信の暗号化(SSL/TLSの利用)、アクセス権限の限定、パスワード管理の徹底などが基本です。万一データ漏えいが発生するとGDPRでは72時間以内に報告義務が生じるなど厳しい対応が求められるため、そもそも漏えいを起こさないよう予防することが肝心です。


必要なデータだけを収集・保管することも重要なポイントです。例えば、使わない項目(生年月日や性別など)をフォームで尋ねない、過去の顧客データは一定期間後に削除する、といった措置です。これにより万一トラブルが起きても被害を最小限にできますし、ユーザーから見ても信頼感につながります。GDPRでは必要以上の個人データを持たないことが原則であり、「持っていないデータは漏れる心配もない」ためリスク低減にも有効です。


EUからのお客様に安心してサービスを使ってもらうために


GDPRはEUの規則ですが、その影響は日本を含む世界中のビジネスに及んでいます。特にインターネットを通じて海外と取引する機会があるスモールビジネスにとって、決して他人事ではないことがお分かりいただけたでしょうか?


小規模事業者にとって、GDPRへの対応は手間もコストもかかるし、「こんな小さな日本の事業者に取り締まりがあるわけがない!」と思うかもしれません。


確かに、これまで巨額の制裁金を科されているのは、グローバルIT企業など、社会的にインパクトが大きい大手企業です。日本の小規模事業者の社会的インパクトを考えれば、GDPRの執行リスクを過剰に恐れる必要はないでしょう。


しかし、インバウンド事業者にとって、GDPRを遵守することは、法令順守の他に大きなメリットがあります。それは、EUからのお客様に、安心してサービスを利用してもらえること。


EUの人々の間では、2018年にGDPRが施行されて以来、個人の権利意識が高まったと言われています。スモールビジネスであっても、GDPRに対応していることで、「お客様のデータを大切に扱う事業者」をアピールすることができ、EUからのお客様に信頼感を与えることができるでしょう。


サービスの価値向上のひとつとして、是非、前向きに取り組んでみてください!


この記事のまとめ

  • GDPRは、EU域外の日本の事業者にも適用される可能性がある。

  • 「意図的に」EUからのお客様をターゲットにしている事業者はGDPR対応が必要。

  • GDPRに対応すると、法令順守以外にも、サービスの安全性をEUからのお客様にアピールできる!



bottom of page