Skip to main content

English

Japan

GDPR施行を機に、観光関連中小企業の個人情報管理支援を ―消費意欲旺盛なヨーロッパからの観光客に、安心できる旅行体験をアピールするために

GDPR施行を機に、観光関連中小企業の個人情報管理支援を

―消費意欲旺盛なヨーロッパからの観光客に、安心できる旅行体験をアピールするために

2018年11月21日

  • Facebook
  • Twitter
  • Google+
opinion2018-11-1_1280-800

観光業でEUレベルの個人情報保護・管理が必要に

2018年5月25日に、EUの「一般データ保護規則(GDPR:General Data Protection Regulation(注1))」が施行された。総務省「平成29年版情報通信白書」によると、GDPRは「主にEU域内に居住する個人のプライバシー保護を目的」として「EU域内で取得した「個人データ」を「処理」し、EU域外の第3国に「移転」するために満たすべき法的要件を規定したもの」である。「違反した際の高額な制裁金の設定など、事業者への要求事項として173項目の前文及び99条にわたる規制が厳格に定められている」もので、日本国内のみで営業する企業や個人事業主も含め「国内企業であっても、その適用を受けることは十分に想定される」とされている。よって、日本国内の中小企業でも、特にEU加盟国内で取得した個人情報については、GDPRが定めるのと同様のレベルで保護・管理するよう求められると予想される(注2)。

観光業界においても、EU加盟国から訪日するインバウンド観光客とかかわる企業・団体、公的機関や個人事業主は、組織の規模を問わず、規制の対象範囲になり得ると考えたほうがいい。GDPRはEU加盟国の個人情報を預かる国内の観光業全般に適用される可能性があるからである。例えば、EU加盟国を中心とするGDPR適用国のインバウンド観光客が、訪日前に宿泊やツアーを含むなんらかのパッケージ旅行商品をオンライン購入する際に、日本の業者・団体に自分の個人情報を送信する場合は、その業者・団体が個人情報保護に関するGDPRの規制対象になる可能性がある。旅行代理店だけでなく、宿泊先の旅館や移動手段を提供するバス会社、非営利の観光協会やガイド業の個人事業主などであっても、EU加盟国内からそうした形で個人情報を預かる場合は、注意が必要である。

実際にGDPRの規制対象になるかどうかは、中継サーバーの設置国や利用するクラウドサービスなどによって条件が異なる。個人情報の送信経路の詳細を厳密に把握していない限り、規制対象かどうか区別することは難しいので、コンプライアンス上は規制対象候補として扱うのが無難である。

国内対策の現状:中小事業者の対応が遅れている

中小企業全般向けの簡易的なGDPRの説明資料(図表1)(注3)は、欧州委員会(European Commission)から公開されている。日本語仮訳付きのもの(注4)も入手できるが、観光業にかかわる中小事業者向けに特化した個人情報の保護・管理体制を整備するのに役立つ実用的な手引きやガイドラインは、観光庁や、中小事業者が主に加盟する全国旅行業協会(ANTA)からも公開されていない。そのため、小規模な自治体の観光協会(NPOも含む)や、地域の小規模旅行代理店はもちろんのこと、自前のウェブサイトで予約を受け付ける民宿、コテージ、民泊などの宿泊業や、日帰りツアーを実施する旅行ガイド、予約を受け付けている飲食店まで、インバウンド観光客の個人情報を扱うほとんどの中小観光関連業は、GDPRレベルで個人情報を保護・管理する体制づくりに必要な情報を得られていない。

国内の観光業界では、大規模事業者が主に加盟する日本旅行業協会(JATA)が、『「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック』(注5)の著者を招いたセミナーを開催するなどして、GDPRへの対応を呼びかけている。しかし、中小事業者については、旅行業だけではなく、宿泊業や旅客・運送業、物品販売やガイド業など、観光業にかかわる多くの事業者の対応が遅れている。こうした中小事業者は、JATAやGDPR対策を着実に進めているその他の団体にも加盟していないので、GDPRレベルで個人情報を保護・管理する体制づくりが遅れている。

日本国内では、個人情報保護法の罰則が中小事業者に対して厳格に適応されてこなかったという事情もあり、特に地方の中小事業者は、GDPRへの対応だけでなく、日本の個人情報保護法への対応もできていないことも珍しくない。個人情報の保護・管理はもとより、情報セキュリティ対策全般がそもそも進んでいないという観光庁の調査結果もある(注6)。

【図表1】中小企業向けの簡易的なGDPR説明資料(インフォグラフィック)抜粋
2018-11-1-1
(出所)欧州委員会ウェブサイト

EU加盟国からの訪日観光客に、GDPR対応で安心な旅行体験をアピールできるチャンス

GDPRは、EU加盟各国での一般選挙で選出された議員が参加する、欧州議会での議論・議決を経て施行されている。しかも、GDPR対応が必要な企業に対して、個人情報を盗み出すためのサイバー攻撃を仕掛けた事例や(注7)、ヨーロッパのホテルと提携する中国企業から盗み出された顧客情報がインターネット上で売り出された事例もすでに報道されているとおり(注8)、GDPRレベルの個人情報保護に対するEU加盟各国民の関心は高い。よって今後、GDPRの適用国であるEU加盟国から訪日して、地方を訪れるインバウンド観光客が増えれば、地方の中小事業者が高いレベルで保護・管理する必要のある個人情報も増えると予想される。

一方、GDPRレベルで、個人情報を保護・管理していることをはっきり示せれば、特に旅行支出の多い富裕層も含めて、EUからの訪日観光客が、安心して利用できる観光関連サービスとして、信頼を高めるきっかけになる(注9)。つまり、旅行支出額を増加させており、消費意欲旺盛なEU加盟国からの訪日観光客に、GDPR対応で安心な旅行体験をアピールできるチャンスが到来しているのである。

地方の中小観光関連業における個人情報保護・管理体制の整備支援を強化すべき

しかし、大企業と異なり、情報セキュリティや個人情報保護の専門家を雇う余裕のない中小事業者にとっては、必要な個人情報の保護・管理体制の整備を自力で計画・実施するのは困難である。そこで、GDPR施行を機に、地方の中小観光関連業における個人情報の保護・管理体制の整備支援を強化して、EU加盟国から地方を訪れるインバウンド観光客が、安心してより多くの中小事業者の観光サービスを利用できるようにすべきである。

地方の中小事業者を通したインバウンド観光客の観光消費をさらに促すためにも、公的機関や観光業の関連団体が中心となって、近隣の大規模事業者においてGDPR対応に当たった経験のある担当者などの協力も得ながら、そうした支援の強化を図るべきである。そうすれば、GDPR対応を進めることで、個人情報保護法への対応を進めることにもつなげられる(注10)。しかも、6ヶ月以内に消去する顧客情報や、性的指向や労働組合との関係についての個人情報の扱い方に関する規定など、日本の個人情報保護法への対応の範囲を越えて、GDPRへの対応に必要な事項は、個人情報保護委員会によって、10ページ程度のガイドラインにまとめられつつある(注11)(図表2参照)。つまり、GDPR対応支援によって、二度手間になることなく、今まで遅れていた地方中小事業者の個人情報保護法への対応支援も進めることができるのである。

【図表2】日本の個人情報保護法を越えてGDPRの対応に必要な事項の例
2018-11-1-2
(出所)個人情報保護委員会のガイドライン案(注12)より作成

まず中小観光関連業に特化した実践的な対策の手引きが必要

当面は、中小観光関連業に特化した手引きを作成・公開して、それを使った中小事業者の対策を促していく必要がある。最新のOS・セキュリティ対策アップデート実施や、定期的なウイルススキャンの実施など、個人情報保護に資するごく基本的な情報セキュリティ対策から始めて、中小事業者が短い時間に少人数で行える対策を重ねていき、段階的にGDPRレベルの管理体制にレベルアップしていけるような手引きが必要である(図表3)。前掲の欧州委員会から公開されている中小企業全般向けの簡易的なGDPRの説明資料(図表1)などを鑑みると、そうした手引きに則って中小事業者が求められる作業は、地域レベルの支援者がいれば、ごく基本的な情報セキュリティ対策から始めても段階的に十分対応できるレベルの質・量である。

GDPRレベルの具体的な対策としては、まず、情報が集まりやすい主要観光地を中心として、個人情報の提供を求める通知の方法や、特に取り扱いに注意が必要な個人情報の保護に関する措置、個人情報の取り扱い記録を残す必要がある場合や、記録に残すべき事項について、公的機関・観光業の関連団体が中小事業者の対応を促進していく必要がある。同様に、EU当局の承認を得ていない国へ個人情報を移転する場合に必要な法的手続きや、取り扱いリスクの高い個人情報の取り扱いに際して必要な事前の影響評価手順、GDPRレベルの個人情報の保護・管理体制を管轄するデータ保護担当者の配置が必要な場合の判断基準なども、欧州委員会から示されているガイドラインに沿って整備していく必要がある。

こうした取り組みを通じて中小事業者向けのGDPR対応支援のノウハウを蓄積した公的機関・観光業の関連団体は、少ない従業者数と日常的な人手不足から、一度に長い時間、大人数を割きにくいという、中小事業者特有の事情に配慮した、実践的な対策の手引きをまとめることができるようになるであろう。各地でまとめられた手引きが複数集まった時点で、具体的な対応事例集とともに全国展開すれば、支援機関や業界団体の手が及びにくい地域においても、対応促進につながるはずである。全国展開を進める際には、日本版の広域連携DMOやその候補法人が周知・手引きの実践支援の司令塔として果たすべき役割が大きくなると考えられる。

【図表3】中小事業者向け個人情報保護・管理体制導入の手引きに必要な項目の例
(EUが中小事業者に求めるGDPRレベルの保護・管理体制を目指すもの)
2018-11-1-3
(☆はGDPRへの対応だけでなく、日本の個人情報保護法への対応でも重要と考えられるもの)
(★はGDPRへの対応上、特に重要と考えられるもの)
(出所)欧州委員会の中小企業向けInfographic、個人情報保護委員会のガイドライン案などから筆者作成

注釈

  • (注1)
    Official Journal of the European Union, Vol. 59 (May 4, 2016), L. 119(1–88), (http://data.europa.eu/)
  • (注2)
    2018年7月17日には、日本政府とEUの間で「お互いの個人データ保護の制度が同等であると認識する」とする合意が結ばれ、「日EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要とされる関連国内手続を完了させることにコミット」したとされている。これは、日本がGDPRの規制適用除外になったという意味では決してない。「熊澤春陽個人情報保護委員会委員、ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による共同プレス・ステートメント」(2017年8月17日)で、日本政府(個人情報保護委員会)とEU(欧州委員会)は「お互いの個人データ保護の制度が同等であると認識するための議論を成功裏に終了した」 (successfully concluded discussions to recognise each other’s personal data protection systems as equivalent)としている(https://www.ppc.go.jp/)。しかし現状、EUのGDPRでは、例えば労働組合への加入状況や性的指向・性生活に関する情報が、特別な個人情報(9条)とされているなど、日本の改正個人情報保護法(2017年5月全面施行)における要配慮個人情報とは、個人情報の取り扱い方に差異があることに注意する必要がある。
  • (注3)
    https://ec.europa.eu/
  • (注4)
    http://www.ppc.go.jp/
  • (注5)
    入門編・実践編の各PDF版をJETROが無料配布している(https://www.jetro.go.jp/)。
  • (注6)
    観光庁が2016年に実施した「情報セキュリティ対策に関するアンケート」によると、旅行業に携わる中小企業の約46%が「情報セキュリティに関する規程」を設けておらず、約66%が情報セキュリティに関わる担当部署や専門の対応チームを設けていない(Travel Vision「旅行会社の情報保護、大手と中小の取り組みに開き-観光庁調査」2016年7月25日,(http://www.travelvision.jp/))。
  • (注7)
    例えば2018年6月にブルガリアのセキュリティ会社が攻撃を確認した事例がある(https://tech.nikkeibp.co.jp/)。
  • (注8)
    https://www.consumeraffairs.com/
    https://www.bbc.co.uk/
  • (注9)
    ヨーロッパ10カ国を含む世界24カ国の6,900人を対象にした2016年の調査では、ほとんどの国の消費者が、個人情報の保護・管理は利便性より優先すべきと答えている(KPMG International (2016) Crossing the Line: Staying on the Right Side of Consumer Privacy)。よって、その他の地域のインバウンド観光客から信頼を得るきっかけにもなると考えられる。
  • (注10)
    日本の個人情報保護委員会とEUの欧州委員会の間で「お互いの個人データ保護の制度が同等であると認識する」とする合意(2017年8月17日)があるため。
  • (注11)
    日本の個人情報保護委員会は「個人情報保護法ガイドライン(EU十分性認定移転編)」(通称)を定めようとしており、2018年4月には「EU域内から十分性認定により移転を受けた個人データの取扱いに関して、個人情報保護に関する法令及びガイドラインに加えて、最低限遵守すべき規律を示す」同ガイドライン案へのパブリックコメントを募集した(http://search.e-gov.go.jp/)。この案の記述によると、日本の個人情報保護委員会は、日本の個人情報保護法を遵守することに加えて、発令後の同ガイドラインを遵守することで、EU域内から個人情報を移転するためのGDPR対応ができるとみなしていると、読み取ることができる。国内では、複数の弁護士が同様の見解を示している(加藤伸樹・大島義則・松尾剛行「「EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドライン案」の解説」『若手弁護士が解説する個人情報・プライバシー法律事務の最新動向』2018年7月2日,(http://www.kbd-personalinfo.com/); 数藤雅彦「GDPRに関する個人情報保護委員会ガイドラインの「方向性」」五常法律会計事務所、2018年2月18日[2018年4月26日追記],(https://www.gojo-partners.com/)。
  • (注12)
    個人情報保護委員会事務局「「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集について」 (案件番号240000050)2018年4月25日, (http://search.e-gov.go.jp/)
大平 剛史

本記事の執筆者

経済研究所
上級研究員

大平 剛史(おおだいら たけし)

株式会社富士通総研 経済研究所 上級研究員
2015年 早稲田大学 大学院アジア太平洋研究科国際関係学専攻 博士後期課程 修了後、2016年 富士通総研入社。
専門領域は、個人の社会適応支援、観光と地域産業活性化、国際関係論・安全保障研究、アジア地域研究(ASEAN・東アジア・南アジア)

お客様総合窓口

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

ページの先頭へtop fo page