GDPR(一般データ保護規則)

読み方: じーでぃーぴーあーる
英語: General Data Protection Regulation
分類: 規則・規制

GDPRは、"General Data Protection Regulation"の略で、日本語で「一般データ保護規則」と訳され、2018年5月25日に施行された、欧州連合(EU)による個人情報保護の新ルール(枠組み)をいいます。

1995年に制定された「データ保護指令」を大幅に厳しくし、EU域内のルールを統一したもので、また個人情報保護を「基本的人権」と位置づけ、個人が自らの個人データに主体的に関われるように様々な規定を盛り込んでいます。

ここでは、GDPRの概要について、簡単にまとめてみました。

目次:コンテンツ構成

GDPRのデータ保護体制

欧州連合(EU)のGDPRでは、EU域内に居住する個人データを有する組織(事業者)に対して、厳格なデータ保護体制の整備を求めています。また、欧州に現地法人など拠点がなくても、商品やサービスをEU域内に提供していると判断されれば、域外の企業も対応しなければなりません。

※EU域内で何らかのビジネスを展開している日本企業のほとんどが適用対象に含まれる。

GDPRの規制対象となる個人データの種類

GDPRの個人情報保護の対象となる個人は、EU域内(ノルウェーなど一部非加盟国を含む)の居住者であり、国籍は問わず、消費者だけでなく、従業員なども対象となります。また、個人データについては、「識別された、または識別され得る自然人(データ主体)に関するあらゆる情報を意味する」と定義しています。

「名前、住所、電話番号、国籍、性別、メールアドレス、顧客ID、クレジットカード番号、口座番号、IPアドレス、クッキー識別子、GPS情報、取引履歴、嗜好、生体認証、労働組合情報、遺伝子情報 他」

※事業者側では、所有する情報の棚卸(データマッピング)が重要。

GDPRの主要なポイント

欧州連合(EU)のGDPRの主要なポイントは、以下のとおりです。

◎個人のプライバシーを個人が持つ基本的権利として尊重する(個人データへのアクセス、修正、消去、異議申し立てなど)。

◎EU域内の消費者や従業員などの個人データを保有したり、域外に持ち出したりする組織に対して、厳重な情報保護体制(データの取得・同意・記録・保存・活用・削除・管理等)の整備を求めている。

◎EU域外への個人データの持ち出しを原則として禁止する(持ち出しには、EUの認定などが必要)。

◎一定の条件に当てはまる事業者には情報管理の窓口となる「データ保護責任者」を義務づけている。

◎情報漏洩等が発覚した際には、72時間以内にEU当局への通知を義務づけている。

◎違反の重要性によって、二段階の制裁金が規定されており、最大で全世界の年間売上高の4%か2000万ユーロの高い方の制裁金が課せられる。

世界各国の個人情報の保護法制

昨今、経済のデジタル化が進む中、膨大なデータは国や企業などの競争力を占う存在になっており、世界各国の個人情報の規制強化(保護法制の施行)は、グーグルやフェイスブックなど米巨大企業のデータ独占に待ったをかける狙いもあります。

|EU|
2018年に個人データの扱いに関して世界で最も厳しいとされるGDPRを施行。

|米国|
医療や金融など分野毎の規制法や州法で対応。

|日本|
2017年に改正個人情報保護法を施行。

|オーストラリア|
2017年にプライバシー法を改正。

|シンガポール|
2014年に個人情報保護法を施行。

|中国|
2017年にインターネット安全法を施行。

|インドネシア|
2016年に電子個人情報保護規制を施行。

iFinancial TV