GDPRとは?わかりやすく解説
企業活動を行う上でプライバシー保護は必要不可欠です。2018年5月にEUでGDPRというプライバシー保護の法令が施行されました。これは日本の企業も対象となる可能性があり、違反した場合は多額の制裁金が課せられてしまいます。そもそもGDPRとは何なのか。この記事ではGDPRについてわかりやすく解説します。
GDPRとは?
GDPRとは、欧州連合(EU)圏内に住む人からの個人情報収集と処理について詳細に定められた法的枠組みのことです。
GDPRは “General Data Protection Reguration” の頭文字を取ったもので、日本語では「一般データ保護規則」を意味します。
本規則は、ウェブサイトの拠点を問わず適用されます。したがって、EU居住者向けに商品やサービスを販売していなくとも、EUからウェブサイトに訪れる人がいる可能性があれば全てのサイトが、本規則を遵守しなければなりません。加えて、サイトは、個人情報が侵害された場合にはタイムリーに通知するなど、EUの消費者の権利を保護するための措置を取る必要があります。
なお、EUで1995年から適応されていた「EUデータ保護指令」に代わり、GDPRが、2016年に発効、2018年5月25日に施行され、全ての組織に準拠が求められるようになりました。
GDPRの背景
では、どのようにしてGDPRが発行、施行されるに至ったのでしょうか。
その背景は、EU全域でプライバシーの権利を保護する共通の法が求められたことにあります。
前述の通り、GDPR施行前、1995年に採択されたEUデータ保護指令が適応されていました。
EU加盟国それぞれは個人データ保護のための国内法を制定し、その制定のための「指針」としてEUデーだ保護指令が存在しました。したがって、各国の国内法は内容に差があります。 そこで、EU加盟国共通の規則を定めることが求められ、GDPRが制定されました。
この変更による注目点は、EUデータ保護指令は「指令」ですが、GDPRは「規則」であり、法規則となった点です。
GDPRの内容
GDPRは、個人データの「処理」と「移転(別のサービスで再利用すること)」に関する法であると考えると理解しやすいです。
GDPRは、EEA(欧州経済領域)内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件です。
そして、以下のような内容について詳細に定められています。
・個人データの処理、移転に関する原則
・本人が自身の個人データに関して有する権利
・個人データの管理者や処理者が負う義務
・監督機関設置の規定
・障害発生時のデータの救済と管理者および処理者への罰則
・個人データの保護と表現の自由 など
GDPRの適用範囲
では、GDPRはどのような範囲に適用されるでしょうか。
GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人の3つのいずれかが、EU域内に拠点がある場合、その全てが対象となります。
しかし、EU居住者の個人データを収集・処理する組織は、EU域外に活動拠点を置いていたとしても、GDPRの適用対象とされるので注意が必要です。
現代はインターネットが普及しており、ネット通販などグローバルにサービスを提供できるため、日本企業もGDPRの指針に基づいた企業としての対策が求められます。
GDPRの対象企業
GDPRの対象となる企業は以下の3つです。
・ EUに子会社や支店、営業所などを有している企業
・ 日本からEUに商品やサービスを提供している企業
・ EUから個人データの処理について委託を受けている企業
GDPRへの対応
以上のようなGDPRへの対応は以下の4つが挙げられます。
・EU圏内からのアクセスがないか調べる(Cookieなどの情報を取得している場合)
・EU圏内に向けた商品やサービスはGDPRを遵守する
・データベンダーはデータの取得元がGDPRに対応しているか確認する
・データを販売している企業はGDPRにきちんと対応する
GDPRの罰則
GDPRは前述の通り法令であり罰則が存在し、GDPRに従わなかった場合、厳しい制裁金が課せられます。
最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い額が適用されます。
2000万ユーロは2023年1月現在のレートで28億4000万円ほどであり、違反となればそのような莫大な罰金を払わなければなりません。
違反による制裁金のリスクと事前セキュリティ対策への予算投入について、企業判断が問われます。
まとめ
GDPRについて理解が深まったでしょうか。
GDPR対策は違反した場合の制裁金を考えても不可欠です。
しかし、何から始めれば良いのか分からない場合もあるでしょう。
株式会社UPFは業界に関係なくお客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPR対策を検討されている企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
