基礎からわかるGDPR(その1)
2018年7月7日読売新聞朝刊。前日のオウム真理教元幹部7名に対して行われた死刑執行や、九州四国地方での大雨のニュースが紙面の大部分を占める中、特別面に掲載されていたのは「基礎からわかるGDPR」。ここには「世界一厳しいルール」とされるGDPRにおける規制の概要や課題が書かれていた。
一般データ保護規則:GDPR(General Data Protection Regulation)は、2016年4月に欧州議会で採択された法律に相当する強制力を持ち、個人データの取得・処理方法、域外への移転などを規制し、企業に厳格な管理を求めている。
ポイントは「1.どんな規制」「2.導入の背景」「3.実効性」「4.日本企業の対応」の4点。今回はそのうち「1.どんな規制」について概要を記述する。
1.どんな規制
EU加盟の28か国に、ノルウェー・アイスランド・リヒテンシュタインを加えた欧州経済領域(EEA)の31か国で導入された。海外の企業であっても、域内に子会社や支店などの拠点を持つところや、域内で商品やサービスを提供する場合は規制の適用を受ける。保護されるデータは、個人の識別につながるあらゆる情報で、域内に住む個人の住所やメールアドレス、クレジットカード情報など幅広く、居住者だけではなく、出張や旅行で域内に滞在する人の情報も含まれる。
企業が求められる対応は、
- 顧客や取引先、社員などから個人情報を得る際に、利用目的や第三者への提供の有無などを示し明確な同意を得る。
- 域外への個人データの移転原則禁止。個人データを含む文書をメールで域外に送ることや、域内間のやり取りでも、日本のサーバを経由する場合も移転とみなされる。
- サイバー攻撃等によって保管データが流失するなどした場合には、72時間以内に対象となる個人が居住・滞在する国の監督機関に通知する。
- 扱うデータの規模などに応じて「データ保護責任者」を置く。
などである。
GDPRに違反すると、最高で世界の売上高の4%か2000万ユーロ(約25億円)のどちらか多い方の額が制裁金として課せられる。(ただし、違反に対する措置は調査や順守命令、警告などいくつかの種類があり、常に制裁金が課せられるとは限らない。)
こうした厳しい規制は、「個人の権利の尊重」を目的として導入され、欧州委員会の委員は「デジタル化で失われた情報のコントロールを個人の手に取り戻す」ことを強調した。
その一方、個人も意識変革が求められ、自分の情報を外部に提供することの必要性やリスクをこれまで以上に考える必要がある。
この記事を書いた人
井上
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
