一般データ保護規則(GDPR)

読み方: いっぱんでーたほごきそく
英語名: General Data Protection Regulation
分類: 規則・規制

GDPRは、"General Data Protection Regulation"の略で、日本語で「一般データ保護規則」と訳され、2018年5月25日に施行された、欧州連合(EU)による個人情報保護の新ルール(枠組み)をいいます。これは、1995年に制定された「データ保護指令」を大幅に厳しくし、EU域内のルールを統一したもので、また個人情報保護を「基本的人権」と位置づけ、個人が自らの個人データに主体的に関われるように様々な規定を盛り込んでいます。

一般にGDPRの個人情報保護の対象となる個人は、EU域内(ノルウェーなど一部非加盟国を含む)の居住者であり、国籍は問いません。一方で、同規則では、EU域内に居住する個人データを有する組織(事業者)に対して厳格なデータ保護体制の整備を求めており、また欧州に現地法人など拠点がなくても、商品やサービスをEU域内に提供していると判断されれば、域外の企業も対応しなければなりません。(EU域内で何らかのビジネスを展開している日本企業のほとんどが適用対象に含まれる)

GDPRの規制対象となる個人データの種類

GDPRでは、個人データを「識別された、または識別され得る自然人(データ主体)に関するあらゆる情報を意味する」と定義しています。また、個人については、消費者だけでなく、従業員なども対象となります。

「名前、住所、電話番号、国籍、性別、メールアドレス、顧客ID、クレジットカード番号、口座番号、IPアドレス、クッキー識別子、GPS情報、取引履歴、嗜好、生体認証、労働組合情報、遺伝子情報 他」

※事業者側では、所有する情報の棚卸(データマッピング)が重要。

GDPRの主要なポイント

●個人のプライバシーを個人が持つ基本的権利として尊重する(個人データへのアクセス、修正、消去、異議申し立てなど)。

●EU域内の消費者や従業員などの個人データを保有したり、域外に持ち出したりする組織に対して、厳重な情報保護体制(データの取得・同意・記録・保存・活用・削除・管理等)の整備を求めている。

●EU域外への個人データの持ち出しを原則として禁止する(持ち出しには、EUの認定などが必要)。

●一定の条件に当てはまる事業者には情報管理の窓口となる「データ保護責任者」を義務づけている。

●情報漏洩等が発覚した際には、72時間以内にEU当局への通知を義務づけている。

●違反の重要性によって、二段階の制裁金が規定されており、最大で全世界の年間売上高の4%か2000万ユーロの高い方の制裁金が課せられる。

世界各国の個人情報の保護法制

昨今、経済のデジタル化が進む中、膨大なデータは国や企業などの競争力を占う存在になっており、世界各国の個人情報の規制強化(保護法制の施行)は、グーグルやフェイスブックなど米巨大企業のデータ独占に待ったをかける狙いもあります。

|EU|
2018年に個人データの扱いに関して世界で最も厳しいとされるGDPRを施行。

|米国|
医療や金融など分野毎の規制法や州法で対応。

|日本|
2017年に改正個人情報保護法を施行。

|オーストラリア|
2017年にプライバシー法を改正。

|シンガポール|
2014年に個人情報保護法を施行。

|中国|
2017年にインターネット安全法を施行。

|インドネシア|
2016年に電子個人情報保護規制を施行。