知らないでは済まされない GDPR: EU一般データ保護規則とその概要について

EU(欧州連合)域内のプライバシー保護に関する新たな規制、GDPR(EU一般データ保護規則)が2018年5月25日に施行されます。GDPRでは、EU内外の企業が行う、EU域内の在住者の個人データの収集や保管、移転およびその使用について細かく規制されます。GDPRは、1995年に策定されたEUデータ保護指令に代わって発効されるもので、個人データを収集、処理する事業者に対して更に多くの義務が課せられることになります。

ここで言う個人データとは、個人を特定できるあらゆる情報のことを指し、氏名、メールアドレス、IPアドレスを含む様々な情報が該当します。これらの個人データはGDPRの規制のもとにさらに厳しく管理され、そのデータの収集や処理にあたり、通知や同意を得ることが必要になり、そのデータの利用目的を開示することが義務付けられます。

GDPRの要件

GDPRに関する要件の概要は下記のとおりです。

  1. 個人データの収集及び利用の目的について、明示的な同意を得る必要がある
  2. EU在住者の個人データが漏洩した場合は、監督機関に対して72時間以内に報告し、データ主体(個人)に対しても遅滞なく通知する
  3. 個人データの取扱について一定の記録を作成し、保管する
  4. 個人データを扱う組織は、所定のスキルや権限を持つ個人データ管理保護責任者を設置し、プライバシーへの影響評価を行う体制を整備する
  5. EU在住者の個人データをEU圏外に移転することは原則として禁止する
  6. 個人データの取扱について個人からの同意取得と証跡の保存に関する要件に対応して関連業務の見直しを行う
  7. GDPRで定められた規制に違反した場合は、そのグループ企業の全世界での売上高の4%もしくは2,000万ユーロのいずれか高いほうが制裁金として課せられる

GDPRの日本国内への影響

GDPRは日本国内の消費者には特に影響はありませんが、EU圏内の在住者に向けてサービスや商品を提供したり、その行動をモニタする場合などは、このGDPRを厳守する必要があります。

GDPRの影響が受けると考えられるのは、下記3つの組織です。

  1. EU圏内に拠点や子会社を有している
  2. EU圏内の在住者に向けて商品やサービスを提供している、行動をモニタしている
  3. EU圏内の在住者の個人データ処理を行っている

参考リンク

GDPRに関する詳細は、下記のサイトからさらに詳しく知ることができます。