基礎からわかるGDPR(その1)

2018年7月7日読売新聞朝刊。前日のオウム真理教元幹部7名に対して行われた死刑執行や、九州四国地方での大雨のニュースが紙面の大部分を占める中、特別面に掲載されていたのは「基礎からわかるGDPR」。ここには「世界一厳しいルール」とされるGDPRにおける規制の概要や課題が書かれていた。
一般データ保護規則:GDPR(General Data Protection Regulation)は、2016年4月に欧州議会で採択された法律に相当する強制力を持ち、個人データの取得・処理方法、域外への移転などを規制し、企業に厳格な管理を求めている。
ポイントは「1.どんな規制」「2.導入の背景」「3.実効性」「4.日本企業の対応」の4点。今回はそのうち「1.どんな規制」について概要を記述する。
1.どんな規制
EU加盟の28か国に、ノルウェー・アイスランド・リヒテンシュタインを加えた欧州経済領域(EEA)の31か国で導入された。海外の企業であっても、域内に子会社や支店などの拠点を持つところや、域内で商品やサービスを提供する場合は規制の適用を受ける。保護されるデータは、個人の識別につながるあらゆる情報で、域内に住む個人の住所やメールアドレス、クレジットカード情報など幅広く、居住者だけではなく、出張や旅行で域内に滞在する人の情報も含まれる。
企業が求められる対応は、
- 顧客や取引先、社員などから個人情報を得る際に、利用目的や第三者への提供の有無などを示し明確な同意を得る。
- 域外への個人データの移転原則禁止。個人データを含む文書をメールで域外に送ることや、域内間のやり取りでも、日本のサーバを経由する場合も移転とみなされる。
- サイバー攻撃等によって保管データが流失するなどした場合には、72時間以内に対象となる個人が居住・滞在する国の監督機関に通知する。
- 扱うデータの規模などに応じて「データ保護責任者」を置く。
などである。
GDPRに違反すると、最高で世界の売上高の4%か2000万ユーロ(約25億円)のどちらか多い方の額が制裁金として課せられる。(ただし、違反に対する措置は調査や順守命令、警告などいくつかの種類があり、常に制裁金が課せられるとは限らない。)
こうした厳しい規制は、「個人の権利の尊重」を目的として導入され、欧州委員会の委員は「デジタル化で失われた情報のコントロールを個人の手に取り戻す」ことを強調した。
その一方、個人も意識変革が求められ、自分の情報を外部に提供することの必要性やリスクをこれまで以上に考える必要がある。
この記事を書いた人
井上
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]