コラム COLUMN

GDPR違反は「全世界売上の4%」の制裁金｜インバウンド担当者が知るべき個人情報・プライバシー対策〔インバウンドサミット2026アフターイベント〕

2026.04.17

Column

インバウンドサミット2026 アフターイベント｜イベントレポート　2026年3月18日（水）15:00〜16:30　オンライン開催

訪日外国人旅行者が4,200万人を超えた2025年、インバウンド事業者がつい後回しにしがちな課題があります。宿泊予約、メールマガジン、SNSキャンペーン、Wi-Fiログイン——そうした場面で集まる旅行者の個人情報を、GDPRをはじめとする各国プライバシー規制の観点から適切に扱えているでしょうか。

インバウンドサミット2026のアフターイベントとして2026年3月18日にオンラインで開催された本セッションにも150名を超える申し込みが集まり、インバウンド観光業界におけるプライバシー領域への関心の高まりがうかがえます。IIJのプライバシーコンサルタント・中西康介氏、JNTOで個人情報保護を組織横断で担う白石拓也氏が、それぞれの経験をもとにインバウンド担当者が「明日から使える」知識を持ち寄りました。

登壇者
中西康介（株式会社インターネットイニシアティブビジネスリスクコンサルティング本部ビジネスリスクコンサルティング部長）
白石拓也（日本政府観光局（JNTO）総務部総務グループマネージャー）
青木優（株式会社MATCHA 代表取締役社長）

※本記事は登壇セッションをもとに対談形式で再構成したものです。発言内容・肩書きはイベント当日のものです。

なぜヨーロッパのプライバシー規制はこれほど厳しいのか——歴史が生んだ「基本的人権」

中西氏からまずお話しいただいたのは、GDPRの厳しさの根っこにある歴史的背景です。意外と知られていないこの話が、その後の議論の土台となりました。

【中西】　GDPRが厳しいのはビジネス上の優位性を作るためだと思っている方も多いかもしれませんが、実はヨーロッパの歴史が深く関係しています。ナチスドイツの時代、国勢調査などで集められた宗教や民族といった個人データが迫害に利用されました。そういう反省から、EUでは個人データの保護が「基本的人権」として明確に位置づけられているんです。

【青木】　ここを知って、僕の認識がかなり変わりました。「個人の国籍が命に関わる」という現実があの厳しさの根っこにある。日本人だとなかなかその感覚がないですよね。

【中西】　そうなんです。だから単なる規制対応の話に終始してしまうと、なぜそれが大事なのかが伝わらない。この背景知識があるかないかで、プライバシーポリシーの書き方も、社内への説明の仕方も、まったく変わってきますよね。

制裁金の規模も桁違いですが、さらに見落とされがちなのが「域外適用」の考え方です。

【中西】　GDPR違反の制裁金は「全世界売上高の最大4%、または2,000万ユーロのいずれか高い方」です。日本国内の売上ではなく、グローバル全体の売上がベースになる。さらに「域外適用」という考え方があって、EUに拠点がなくても、EU在住者の宿泊予約を受け付けていたり、GoogleアナリティクスでEUユーザーの行動を分析していたりする場合はGDPRの適用対象になる可能性があります。「ヨーロッパを積極的にターゲットにしていないから関係ない」とは言えない時代です。

【青木】　MATCHAも10言語で展開しているので、フランスやドイツからも普通にアクセスがあります。GDPRは改めて他人事じゃないと感じました。

GDPRの主な特徴

💰 巨額の制裁金

違反した場合、全世界売上高の最大4%または2,000万ユーロのいずれか高い方が制裁金として課される可能性があります。日本国内の売上だけでなく、グローバル全体の売上が対象となります。

🌐 域外適用

EU域内に拠点がなくても、EU在住者に商品・サービスを提供したり、EU在住者の行動をウェブ上で追跡・分析したりする場合は適用対象となります。「ターゲットにしていないから関係ない」は通用しません。

JNTOが直面した「国ごとの違い」——シンガポール赴任で痛感した手探りの対応

続いて白石氏からお話しいただいたのは、JNTO本部とシンガポール事務所という二つの立場から見えてきたリアルです。JNTOは世界26都市に事務所を持ち、各地でプロモーション活動を展開しています。

【白石】　シンガポールに赴任した時、ある程度の知識は持っていったつもりだったんですけれど、やはり現地に行くとシンガポール法を中心に動かなければいけない。その法律の文言を読んでも、実際の事業にどう当てはめるかというのは手探りでやっていくしかなかったですね。

【中西】　「法はこう書いてあるけれど、実際の事業に照らすとどうなのか」という部分が一番難しいところですよね。各国の共通となるコアをGDPRベースにグローバルポリシーとして立てて、その下に国別の要件を付け加えるという構造が、グローバル企業の標準的なやり方です。

【白石】　まさに、その「コア＋国別追補」という考え方で私たちもデータ処理契約を整備しているので、中西さんのお話を聞いて安心しました。ただ近年は各国の法整備が急速に進んでいて、日々情報収集をしていても追いつかないという実感があります。

JNTOが注力しているのが、本部と現場の双方向のコミュニケーションです。

【白石】　本部側で各国の制度を調べて、法律変更があったら事務所に伝えたり、逆に現場が先にキャッチして「こういうことが起きているけれどどう対応すればいいか」と相談が来たり——そういうやり取りを積み重ねています。現場単位だけでやっていくと、複雑すぎてどこから手をつけていいかわからなくなりがちなので、本部からのサポートと現場からの情報収集の両輪が大事だと感じています。

明日から始める4つの対策——まず「データマッピング」で現状を把握せよ

「では実際に何をすればいいのか」——参加者が最も知りたかったこの問いに、中西氏からスライドを交えてご回答いただきました。

【中西】　まず取り組むべき対策は4つです。①プライバシーポリシーの整備、②クッキーバナーの設置、③EU代理人の指定、④委託先管理とセキュリティ対策。ただ、これらすべての「土台」になるのが「データマッピング」です。自社が誰のどんな個人データをどこで取得して、どこに保管しているかを把握しないと、プライバシーポリシーも正しく書けないんです。まず現状の棚卸しから始めてください。

【青木】　ハラルやビーガン、アレルギーの情報も個人データになりますか？

【中西】　GDPRでは「特別カテゴリー」として特に注意が必要なデータになります。ハラルなら宗教、アレルギーなら健康状態がわかってしまう。さっきお話しした欧州の歴史的背景——宗教や民族が迫害に使われた——がまさにここに反映されているんですよ。

この点については、白石氏からもJNTOの実例をご紹介いただきました。

【白石】　実は私たちも招聘事業でこの問題に直面しています。海外メディアの方を日本に招く場合、アレルギーや食の制限といった情報を日本側の手配のために越境移転しなければならない場面があって。「とりあえず集めておこう」ではなく、何のために誰のデータを取るのかを事業ごとに整理する必要を改めて感じています。

【中西】　まさにそこなんです。データマッピングの要は「目的」の整理で、目的なくして個人データを処理してはならないというのがGDPRの大原則です。まず目的を明確にして、それに紐づいてデータの流れを整理していく——この順番が重要です。

今すぐ取り組むべき4つの対策

① プライバシーポリシーの整備（多言語対応含む）
② クッキーバナーの設置（ダークパターンに注意）
③ EU代理人の指定（欧州に拠点がない場合）
④ 委託先管理とセキュリティ対策

＊上記4つの土台となる「データマッピング（現状把握）」が最初のステップ

「同意するボタンだけ緑色」は違法——ダークパターンという落とし穴

クッキーバナーについては「設置すれば対応完了」と思われがちですが、デザインにも法的な落とし穴があります。中西氏からご指摘いただきました。

【中西】　「同意する」ボタンだけを緑色にして「拒否する」をグレーにするといった視覚的な誘導——これを「ダークパターン」と言いますが——GDPRで違法と判断されるケースが増えています。同意と拒否のボタンは同等に提示しなければならない。デザインの話なのに法律上の問題になるんです。

「お客さんが気づいていない同意」は同意ではない——旅行会社からのリアルな質問

セッション後半のQ&Aでは、旅行会社を経営する参加者から実務直結の質問が寄せられました。

【参加者】　お客様の写真をSNSに投稿する際に、その場で「載せていいですか？」と確認してOKをもらえればOKなのでしょうか。正直、気づいていない方もいるかもしれないという不安があって……。

【中西】　「気づいていない」というのが、実はそこが一番注意が必要なポイントです。同意というのは、本人の「能動的なアクション」によって取るものなんで、気づいていないという状態での同意というのはないっていうところだけ、注意が必要です。

【参加者】　（中西氏の説明を受けて）今、ちょっと安心しました。ただ、ツアー参加時に口頭でもお伝えするようにはしているんですが……。

【中西】　口頭の「いいですか？」「OK」だけでは有効な同意として認められない可能性が高いです。何の目的で使うのか、連絡先はどこか、撤回したい時にはどうするのか——こういった情報を事前に提示した上で、ウェブのチェックボックスなど後から証明できる形で同意を取ることが必要です。さらに、撤回できる仕組みも用意しておかなければなりません。

この点について、白石氏からも実務的なコメントをいただきました。

【白石】　私たちもSNS関係の写真はよく扱うんですが、意図せず映り込んでしまったものはそのまま使えないとチェックするようにしています。目的の提示と同意取得は、国によって求められる内容が違っても、どこの国でも基本的な動作として必要なことだと感じています。

経営者が動かないと何も変わらない——プライバシー対応は「経営リスク」で語れ

【中西】　現場で対策を進めようとした時に一番ぶつかるのは、経営者・意思決定者の理解です。対策にはコストがかかることも多いので、プライバシーを「経営リスク」として正しく伝える必要があります。GDPRの高額制裁金だけじゃなく、一度インシデントが起きたらSNSで炎上して、市場から追いやられるほどのブランド毀損が起きる可能性がある。そこまで含めて経営リスクとして提示できると、動いてもらいやすくなります。

プライバシーポリシーの「作り方」についても、白石氏からご意見をいただきました。

【白石】　プライバシーポリシーを作る時、法律の骨格は総務部門と専門家で作れるんですけれど、「利用目的」の部分は実際に事業を動かしている現場の人にしか書けないんですよね。事業主体の人たちが個人情報の流れを自分の言葉で言語化できるかどうか——ここが最終的なポリシーの品質を決めると思っています。組織全体で「自分ごと」として捉えることが、プライバシー対応の一番の核心かなと日々感じています。

【中西】　プライバシーポリシーは法律の専門用語を並べればいいというものでもないんです。GDPRの精神にも「専門用語を使わずわかりやすく書きなさい」とあります。飛行機の安全ビデオのように、大切なことを誰にでも伝わる形で届ける——それがプライバシーを「攻め」に変える、デジタル時代のおもてなしにつながると思っています。

青木によるセッションまとめ——インバウンド担当者が今日から押さえるべき4点

セッション終盤、青木がセッション全体を4つのキーワードで締めくくりました。

インバウンド担当者が今日から押さえるべき4点

① 歴史的背景を理解する：GDPRの厳しさはナチスドイツの反省に由来する「基本的人権」であり、域外適用によって日本企業も無関係ではない
② 国別対応を設計する：全体最適（GDPRベースのグローバルポリシー）＋国別の個別対応という構造で
③ 4つの対策をデータマッピングを土台に進める：プライバシーポリシー・クッキーバナー・EU代理人・委託先管理
④ 経営者・責任者の認識を高める：「しないことのリスク」を経営リスクとして提示し、現場が自分の言葉でポリシーを作れる体制を整える

日本が世界に誇る観光立国になっていくためには、個人情報を適切に扱うことが欠かせません。プライバシーへの誠実な対応は、海外の旅行者から「この企業は信頼できる」という判断材料になる——今回のセッションを通じて3人が一致して伝えたメッセージでした。

登壇者プロフィール

株式会社インターネットイニシアティブビジネスリスクコンサルティング本部ビジネスリスクコンサルティング部長中西康介	20年に渡りミッションクリティカルかつ高度なセキュリティが要求されるシステムの開発及び事業継続の研究・サービス開発に従事。2017年よりプライバシー保護のコンサルティング及びプライバシーテック領域の研究・サービス開発、また、デジタルマーケティング施策の研究・運用などに従事するとともに、コンサルティング業務の品質管理などを行う。
日本政府観光局（JNTO）総務部総務グループマネージャー白石拓也	2015年にJNTOに中途入構し、バンコク事務所（2015-2019年）、総務部（2019-2023年）、シンガポール事務所（2023-2025年）を経て、2025年9月より総務部。前ポストのシンガポール事務所では、所長としてシンガポール市場における事業・プロモーションや事務所運営を統括。現在は総務グループマネージャーとして、本日のテーマである個人情報保護への対応の他、JNTOの中期計画・年度計画や内部統制、危機管理等、管理部門の業務を幅広く担当している。2025年に国家資格の中小企業診断士に登録。
株式会社MATCHA 代表取締役社長青木優	1989年、東京生まれ。株式会社MATCHA代表取締役。内閣府クールジャパン地域プロデューサー。2014年2月より訪日外国人観光客向けメディア「MATCHA」の運営を開始。現在10言語、世界180ヶ国以上からアクセスがあり、様々な企業や県、自治体と連携し海外への情報発信を行なっている。