fbpx

情報セキュリティにまつわる
お役立ち情報を発信

GDPRとは?わかりやすく解説


企業活動を行う上でプライバシー保護は必要不可欠です。2018年5月にEUでGDPRというプライバシー保護の法令が施行されました。これは日本の企業も対象となる可能性があり、違反した場合は多額の制裁金が課せられてしまいます。そもそもGDPRとは何なのか。この記事ではGDPRについてわかりやすく解説します。

GDPRとは?

GDPRとは、欧州連合(EU)圏内に住む人からの個人情報収集と処理について詳細に定められた法的枠組みのことです。

GDPRは “General Data Protection Reguration” の頭文字を取ったもので、日本語では「一般データ保護規則」を意味します。

本規則は、ウェブサイトの拠点を問わず適用されます。したがって、EU居住者向けに商品やサービスを販売していなくとも、EUからウェブサイトに訪れる人がいる可能性があれば全てのサイトが、本規則を遵守しなければなりません。加えて、サイトは、個人情報が侵害された場合にはタイムリーに通知するなど、EUの消費者の権利を保護するための措置を取る必要があります。

なお、EUで1995年から適応されていた「EUデータ保護指令」に代わり、GDPRが、2016年に発効、2018年5月25日に施行され、全ての組織に準拠が求められるようになりました。

GDPRの背景

では、どのようにしてGDPRが発行、施行されるに至ったのでしょうか。
その背景は、EU全域でプライバシーの権利を保護する共通の法が求められたことにあります。

前述の通り、GDPR施行前、1995年に採択されたEUデータ保護指令が適応されていました。
EU加盟国それぞれは個人データ保護のための国内法を制定し、その制定のための「指針」としてEUデーだ保護指令が存在しました。したがって、各国の国内法は内容に差があります。 そこで、EU加盟国共通の規則を定めることが求められ、GDPRが制定されました。

この変更による注目点は、EUデータ保護指令は「指令」ですが、GDPRは「規則」であり、法規則となった点です。

GDPRの内容

GDPRは、個人データの「処理」と「移転(別のサービスで再利用すること)」に関する法であると考えると理解しやすいです。

GDPRは、EEA(欧州経済領域)内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件です。

そして、以下のような内容について詳細に定められています。
・個人データの処理、移転に関する原則
・本人が自身の個人データに関して有する権利
・個人データの管理者や処理者が負う義務
・監督機関設置の規定
・障害発生時のデータの救済と管理者および処理者への罰則
・個人データの保護と表現の自由 など

GDPRの適用範囲

では、GDPRはどのような範囲に適用されるでしょうか。
GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人の3つのいずれかが、EU域内に拠点がある場合、その全てが対象となります。

しかし、EU居住者の個人データを収集・処理する組織は、EU域外に活動拠点を置いていたとしても、GDPRの適用対象とされるので注意が必要です。

現代はインターネットが普及しており、ネット通販などグローバルにサービスを提供できるため、日本企業もGDPRの指針に基づいた企業としての対策が求められます。

GDPRの対象企業

GDPRの対象となる企業は以下の3つです。
・ EUに子会社や支店、営業所などを有している企業
・ 日本からEUに商品やサービスを提供している企業
・ EUから個人データの処理について委託を受けている企業

GDPRへの対応

以上のようなGDPRへの対応は以下の4つが挙げられます。
・EU圏内からのアクセスがないか調べる(Cookieなどの情報を取得している場合)
・EU圏内に向けた商品やサービスはGDPRを遵守する
・データベンダーはデータの取得元がGDPRに対応しているか確認する
・データを販売している企業はGDPRにきちんと対応する

GDPRの罰則

GDPRは前述の通り法令であり罰則が存在し、GDPRに従わなかった場合、厳しい制裁金が課せられます。
最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い額が適用されます。

2000万ユーロは2023年1月現在のレートで28億4000万円ほどであり、違反となればそのような莫大な罰金を払わなければなりません。

違反による制裁金のリスクと事前セキュリティ対策への予算投入について、企業判断が問われます。

まとめ

GDPRについて理解が深まったでしょうか。
GDPR対策は違反した場合の制裁金を考えても不可欠です。

しかし、何から始めれば良いのか分からない場合もあるでしょう。

株式会社UPFは業界に関係なくお客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。

GDPR対策を検討されている企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る