fbpx

情報セキュリティにまつわる
お役立ち情報を発信

基礎からわかるGDPR(その1)

2018年7月7日読売新聞朝刊。前日のオウム真理教元幹部7名に対して行われた死刑執行や、九州四国地方での大雨のニュースが紙面の大部分を占める中、特別面に掲載されていたのは「基礎からわかるGDPR」。ここには「世界一厳しいルール」とされるGDPRにおける規制の概要や課題が書かれていた。

一般データ保護規則:GDPR(General Data Protection Regulation)は、2016年4月に欧州議会で採択された法律に相当する強制力を持ち、個人データの取得・処理方法、域外への移転などを規制し、企業に厳格な管理を求めている。

ポイントは「1.どんな規制」「2.導入の背景」「3.実効性」「4.日本企業の対応」の4点。今回はそのうち「1.どんな規制」について概要を記述する。

1.どんな規制

EU加盟の28か国に、ノルウェー・アイスランド・リヒテンシュタインを加えた欧州経済領域(EEA)の31か国で導入された。海外の企業であっても、域内に子会社や支店などの拠点を持つところや、域内で商品やサービスを提供する場合は規制の適用を受ける。保護されるデータは、個人の識別につながるあらゆる情報で、域内に住む個人の住所やメールアドレス、クレジットカード情報など幅広く、居住者だけではなく、出張や旅行で域内に滞在する人の情報も含まれる。

企業が求められる対応は、

  • 顧客や取引先、社員などから個人情報を得る際に、利用目的や第三者への提供の有無などを示し明確な同意を得る。
  • 域外への個人データの移転原則禁止。個人データを含む文書をメールで域外に送ることや、域内間のやり取りでも、日本のサーバを経由する場合も移転とみなされる。
  • サイバー攻撃等によって保管データが流失するなどした場合には、72時間以内に対象となる個人が居住・滞在する国の監督機関に通知する。
  • 扱うデータの規模などに応じて「データ保護責任者」を置く。

などである。

GDPRに違反すると、最高で世界の売上高の4%か2000万ユーロ(約25億円)のどちらか多い方の額が制裁金として課せられる。(ただし、違反に対する措置は調査や順守命令、警告などいくつかの種類があり、常に制裁金が課せられるとは限らない。)

こうした厳しい規制は、「個人の権利の尊重」を目的として導入され、欧州委員会の委員は「デジタル化で失われた情報のコントロールを個人の手に取り戻す」ことを強調した。

その一方、個人も意識変革が求められ、自分の情報を外部に提供することの必要性やリスクをこれまで以上に考える必要がある。

この記事を書いた人

井上

井上

■出身地:埼玉県 ■趣味:種から植物育成(柑橘系、藤、等) ■最近のはまり:読書(第二次世界大戦に関する書籍) ■苦手なもの:タバコの煙・匂い(高熱出ます) 【UPF pmark】 千代田区に会社を構える株式会社UPFです。 日本全国を対象にDM発送代行、プライバシーマーク取得コンサルティング事業をしております。 プライバシーマークについてのお問い合わせ・ご相談は株式会社UPFのセキュリティーコンサルティング事業部まで。 【03-6661-0846】

同じテーマの記事はこちら

すべて見る