「ヤフーの海外サービス中止」から考える欧州における個人情報保護

2022年4月8日

先日、ヤフー株式会社(以下: ヤフー)が、4月6日以降、欧州経済地域(EEA)と英国における大半のサービスの提供を中止すると発表しました。検索サイト「Yahoo! JAPAN」や、ニュースサイト「Yahoo!ニュース」が提供中止サービスに該当し、上記地域では閲覧不可能となります。ヤフーによると、本地域におけるの該当サービスの利用者は全体の1%程度にとどまっているとのことですが、当地在住でサービス提供中止の影響を直接受ける私たちにとっては、残念な出来事といえるでしょう。

本日は、ヤフーの海外サービス提供中止から、欧州における個人情報の取り扱いについて考察したいと思います。

ヤフー、海外サービス中止の背景

“Yahoo! JAPANは欧州経済領域(EEA)およびイギリスのお客様に継続的なサービス利用環境を提供することが困難であるとの判断から、(中略)、2022年4月6日 (水)よりEEAおよびイギリスからご利用いただけなくなります。”

引用元:【重要】欧州などからご利用のお客様へ – Yahoo! JAPAN

ここから読み取ることができるサービス提供中止の理由は、「継続的なサービス利用環境を提供することが難しい」、という極めてシンプルなものですが、EEAと英国でのサービス利用環境の整備において、固有の難しさとはどういったものがあるのでしょうか。

GDPR

EEAにおけるデータ保護に関する法律にはGeneral Data Protection Regulation(一般データ保護規則)、通称GDPR が存在します。英国ではBrexit後もUK GDPRとして、内容はほぼ同じまま適応されています。

日本企業であっても、EEAないしは英国に拠点を保持している、当地の個人向けにサービスを提供している、当地に個人データを保管している、といった場合にGDPRが適用となり、当規則に違反すると、多大な罰金を科せられるリスクがあります。

2021年、Google社 がフランス共和国データ保護機関(CNIL)により1億5,000万ユーロもの罰金を命ぜられたことは記憶に新しいです。Google社と同様、個人向けに多岐に渡るサービスを提供しているヤフーにとって、ユーザーが決して多くはないこの地域のために、コストを掛けてリスク対策を行うことが難しくなってきた状況が想像されます。

では、GDPRにおいては、具体的にどのような対策が求められているのでしょうか。

 Cookie利用やマーケティングメールの承諾

例えば、欧州において、Webサイト閲覧時、「Cookie利用の承諾」について、日本よりも同意を求められる機会が増えたように感じませんか。これもGDPR対策によるものです。

Cookieとは、Webサイトに利用者が入力したデータ等を利便性のために保存することですが、GDPRの下ではCookieも個人データとして保護される対象となるため、Cookieを利用しているWebサイトは、利用者からデータ処理の同意を求めなければなりません。

また、Webサイト上で会員登録などの目的で登録された連絡先について、特定された目的以外のことに利用してはいけないことがGDPR上規定されているため(目的の限定の原則)、企業のマーケティング活動などで登録会員のメールアドレス等の情報を利用したい場合は、利用者の同意をあらかじめ取得しなければなりません。

 

弊社では情報の取り扱いに関連したアセスメントサービスやコンサルティング等のご相談を承っております。

ご相談、ご質問等があれば、お気軽にお問合せ下さい。