こんにちは。ジェイグラブの横川です。

GDPR（General Data Protection Regulation）とは、EUの個人情報保護法です。この法律は世界の類似する法律の中でも極めて厳しいことで有名です。

まず一般的に法律というのは、政治・行政権力が及ぶ範囲でしか効力を持ちません。日本から海外へ出たことがない人が、突然外国の法律で罰せられるということはありませんし、現在日本にいない外国の人が日本の法律で罰せられることはありません。

しかし、このGDPRは国境を越えてきますので注意が必要です。一応、GDPR並の法律を持つ国家に対してはGDPRに対応しなくても良いということになっていますが、残念ながら日本の個人情報保護法はEUから言わせればレベルが低いのだそうで、日本企業が越境ECを行う際はGDPRに対応しないとなりません。

ちなみに「我が社はEUに対して商売するつもりはないから関係ない」という理由は成立します。しかし、EUには売る気はないけど、シンガポールには売りたいということでサイトを英語で作っていたら、EU圏内の人でも読めてしまうサイトなので、上記の理由は通用しない可能性が大です。

また、このGDPRと同等に厳しい個人情報保護法としてはアメリカのカリフォルニア州法のCCPA（California Consumer Privacy Act）も有名です。大抵はこの2つはセットで対応します。

最後に中国のPIPL（Personal Information Protection Law）も2021年に施行されています。この法律はGDPRをお手本にしたような内容ですので、対応方法も似ていると言えますが、「外国による不利益を被る場合は断固とした対抗措置を取る」と明記されており、そのあたりの要件がはっきりしないため、このあたりはリスクとして理解しておく必要があります。

2023年のGDPR、eコマース、集団訴訟

2023年はGDPRの罰金が大幅に増加し、データ保護違反に対する罰則が最も高い年となった。MetaやGoogleのようなハイテク大手に対するGDPRの罰金で世界中が騒がしいが、中小企業も規制の監視下に置かれていることを理解することが極めて重要である。

施行状況

GDPR Enforcement Trackerによると、2023年の罰金総額は急増している。2023年9月現在、罰金総額は4,396,643,224ユーロ（約6,900億円）という途方もない額になっている。大企業がその大部分を占める一方で、他の産業や商業を含むあらゆる分野での罰金の増加は注目に値する。

違反の種類 電子商取引の落とし穴

GDPRの状況は複雑であり、eコマース・プラットフォームは特に様々な違反の影響を受けやすい。eコマース領域で最も一般的な落とし穴を掘り下げてみましょう。

• 情報提供：多くのeコマース・プラットフォームはプライバシー・ポリシーが曖昧であったり、そのページへアクセスしにくかったりするが、これは明確で透明性のある情報を求めるGDPRの要件に違反している。この違反は気づかれないことが多いが、企業にとって深刻な経済的影響を及ぼす可能性がある。情報提供義務の不十分な履行は、全体の5％だが、178件のケースで2億3,727万5,080ユーロ（約360億円）という途方もない額の罰金を占めている。
• 未承諾マーケティング：製品の宣伝と消費者のプライバシー尊重のバランスが不可欠。スパムメールや押し付けがましい広告などの未承諾マーケティングは、個人のデータプライバシー権を侵害する可能性があります。企業は、適切な同意の取得、オプトアウト（配信停止依頼）要求の尊重、顧客データの安全な管理を徹底しなければなりません。詳しくはこちらの記事（英語）をご覧ください。
• 同意: 多くのeコマースプラットフォームは、あらかじめボックスにチェックを入れたり、受動的なユーザーの行動を同意とみなしています。しかし、GDPRはデータ処理に対する明示的な同意を要求しています。さらに、同意はきめ細かくなければなりません。つまり、異なる処理活動に対する個別の同意が必要であり、単一の「Accept All」ボタンでは不十分です。同意に関するヒントはこちらの記事（英語）をご覧ください。
• 国際的な移転：企業はしばしば、十分な保護措置を講じることなく、GDPRのデータ移転規則に違反して、米国などの異なる国でデータを移転・保管していることがある。Eコマース・プラットフォームは、決済処理や顧客分析にサードパーティ・サービスを頻繁に使用しており、GDPRの国際データ移転規制に準拠していない可能性がある。
• クッキー：多くのEコマースサイトは、明示的な同意を得ることなくトラッキングクッキーを使用している。欧州のデータ保護規則では、クッキーのバナーはユーザーに通知するだけでなく、クッキーを受け入れるか拒否するかの選択肢を提供することが義務付けられています。クッキーバナーの詳細については、こちらの記事（英語）をご覧ください。

集団的側面： GDPR執行における新たなフロンティア

GDPR執行の集団的側面は、eコマース事業者が特に意識する必要がある、急速に進化している分野である。GDPRは常に個々のデータを保護することを目的としてきましたが、集団的措置の範囲が広がり、データ保護に対するより包括的なアプローチが可能になりました。

この文脈で最も注目すべきケースのひとつは、オランダの消費者団体Consumentenbondがプライバシー保護財団とともに2023年9月12日にグーグルに対して開始した法的手続きである。この訴訟は、特にターゲット広告の領域におけるグーグルの違法なデータ処理方法の疑いを中心に展開されている。両団体は、グーグルのやり方がGDPR規制に違反していると主張し、消費者の集団的利益を守るために法的手続きを開始した。

eコマース・プラットフォームは、個人情報から購買風習まで、膨大な量のデータを収集している。このため、特にGDPR違反が発覚した場合には、集団訴訟手続きの格好の標的となる。eコマース事業者は、罰金を避けるためだけでなく、集団訴訟に関連するリスクを軽減するためにも、コンプライアンスを積極的に確保する必要がある。

参考：GDPR, e-Commerce, and Collective Actions in 2023

おわりに

日本企業にも影響してくる内容（なのと、日本企業はこういう不安ごとに対する反応だけは非常に素早いので、この記事を上げれば閲覧数が伸びるのではないかという打算もｗ）とあって掲載しました。

まず、Shopify、WooCommerce、Magentoなどで越境ECを行っている場合は、この法律に対応できるプラグイン等を入れましょう。ジェイグラブが納品するサイトは対応済みです。