【GDPRって何?】最大26億円の罰金 インバウンド担当者なら「知らなかった」では済まされないEUの新しい個人情報保護法を徹底解説

訪日ラボ編集部  2018-07-09  2021-01-14
この記事は約11分で読み終わります。
THE INBOUND DAY 2025 -まだ見ぬポテンシャルへ- アーカイブ無料配信中
完全無料 訪日ラボ会員 「インバウンドの教科書」出ました! 国別・都道府県別データ・トレンドをカバー 見てみる

6月26日に株式会社プリンスホテルは、サーバーへの不正アクセスによって、外国語Webサイトにて予約をした利用客の個人情報が流出したと発表しました。

これは近年耳にする単なる個人情報流出のニュースだと思うと大間違いで、2018年5月25日にEUで適用が開始された新たな個人情報保護法であるGDPR(GeneralDataProtectionRegulation一般データ保護規則)と合わせて、今後多くのEU圏からの訪日外国人の個人情報を扱う可能性のある日本のインバウンド関連事業者にとっては知っておかねばならないニュースだと言えます。

インバウンド受け入れ環境整備の資料を無料でダウンロードする

訪日ラボのメールマガジン登録はこちら>(無料)

そもそも「プリンスホテルの委託先サイトの情報漏洩事件」はどのようなものなのか?

株式会社プリンスホテルは6月26日に「サーバーへの不正アクセスによる、当社外国語Webサイトにてご予約いただいたお客さまの個人情報の流出に関するお詫びとお知らせ」を発表しました。

株式会社プリンスホテルは、外国語Webサイトの運営をファストブッキングジャパン株式会社に委託しており、今回の不正アクセスはFastBooking Japan(ファストブッキングジャパン株式会社)の親会社であるフランス法人ファストブッキング社の所有するサーバーに対して起きたもので、今回の情報漏洩はこのサーバーから約12万4963件の利用客の個人情報が流出したというものです。

個人情報漏洩は6月に2回続いた

個人情報が流出したのは合計して2回。1回目は6月15日金曜日で、フランス法人のファストブッキング社の所有するサーバーに不正アクセスがあり、氏名、国籍、郵便番号、住所、メールアドレス、予約金額、予約番号、予約ホテル名、チェックイン日、チェックアウト日など58,003件の個人情報が流出。2回目の不正アクセスは2日後となる6月17日日曜日。こちらも同様にファストブッキング社の所有するサーバーに不正アクセスがあり、氏名、クレジットカード情報など66,960件の個人情報が流出しました。

ファストブッキング社は20日に事態を把握22日、23日にファストブッキングジャパン株式会社が株式会社プリンスホテル側に電話とメールで今回の不正アクセスによる情報漏洩を報告、24日にファストブッキングジャパン株式会社日本支社長が株式会社プリンスホテルを訪れ事態の報告を行っています。

今回の情報漏洩はEUのGDPRの罰則規定に該当する恐れが

今回のこのニュースが、なぜ日本のインバウンド関連事業者にとって大きなニュースであると言えるのか?それはEUの新たな個人情報保護法であるGDPR(GeneralDataProtectionRegulation一般データ保護規則)に違反する恐れがあるためです。

このGDPRにした企業には、企業の全世界年間売上高の4%以下、2000万ユーロ以下(※現在の為替レートで約26億円)のいずれか高い方を上限とする高額な制裁金が科される恐れがあります。

今回、株式会社プリンスホテルが外国語Webサイトの運営を委託していた、ファストブッキングジャパン株式会社の親会社であるフランス法人ファストブッキング社のサーバーから流出した個人情報には、EU圏の人々の個人情報も含まれていたであろう事が予測され、そうすると株式会社プリンスホテル側にもGDPRの罰則規定が及ぶ可能性があるためです。

そもそも「GDPR」とは何なのか?

GDPR(GeneralDataProtectionRegulation一般データ保護規則)は欧州議会において2016年4月14日に正式に採択されたもので、2018年5月25日から適用が開始されており、

  • EUデータ保護法の範囲の拡大
  • 統一性の増大
  • 企業に対する説明責任義務の導入
  • 個人の権利の強化
  • 制裁と執行の強化

を目的としています。

非常に簡単に説明すると、GDPRはそもそもはEUの憲法であるEU基本権憲章によって保護されるべき「個人データの保護に対する権利」を確保するものとして導入されました。なお、ここでいう「個人データ」とは氏名、個人識別番号、所在地データ、職業上のEメールアドレス、IPアドレス、身体的、生理学的、遺伝子的、精神的、経済的、文化的などの情報であるとされています。

この続きから読める内容

  • 欧州経済領域(EEA域内)で個人データを取得する企業はすべて「GDPR」の対象となる=日本の中小企業も例外ではない
  • 「GDPR」の「管理者」・「処理者」とは?
  • 「GDPR」において、インバウンド担当者が気をつけるべきポイントは?
  • 「GDPR」について具体的にはどのような規定に気をつければ良い?
  • まとめ
このページの続きを読むには会員登録が必要です
\無料・1分で登録完了/
会員登録して続きを読む

訪日ラボ無料会員
登録すると…

50,000ページ以上の
会員限定コンテンツが
読み放題

400時間以上の
セミナー動画が
見放題

200レッスン以上の
インバウンド対策の
教科書が学び放題

\無料・1分で登録完了/

今すぐ会員登録する
完全無料 訪日ラボ会員 「インバウンドの教科書」出ました! 国別・都道府県別データ・トレンドをカバー 見てみる

関連インバウンド記事

 

役にたったら
いいね!してください

この記事の筆者

訪日ラボ編集部

訪日ラボ編集部

訪日外国人観光客インバウンド需要情報を配信するインバウンド総合ニュースサイト「訪日ラボ」。インバウンド担当者・訪日マーケティング担当者向けに政府や観光庁が発表する統計のわかりやすいまとめやインバウンド事業に取り組む企業の事例、外国人旅行客がよく行く観光地などを配信しています!

プロモーションのご相談や店舗の集客力アップに

インバウンドに関するプロモーションや対策に困っていませんか?
インバウンドに関するプロモーションや対策に困っていませんか?
いま、何をやるべき? どの国をターゲットにしたらいいの? 訪日ラボでPRしたい!などお気軽にご相談ください。
詳しく見る
インバウンド対策をチャット形式で手軽に学べるオンラインスクール
インバウンド対策をチャット形式で手軽に学べるオンラインスクール
これから始めるインバウンド対策の基礎知識や、今後のトレンド予想、インバウンドに関する各種データをわかりやすく解説
詳しく見る