GDPR じーでぃーぴーあーる
GDPR個人情報保護EU法データ主体の権利プライバシー
GDPRについて教えて
簡単に言うとこんな感じ!
EU(欧州連合)が定めた個人情報保護の法律で、違反すると売上の4%か2,000万ユーロのどちらか高い方が罰金になるやつ。EU在住者を対象にビジネスするなら日本企業も対象だよ!
GDPRとは
GDPR(General Data Protection Regulation:一般データ保護規則)は、EU(欧州連合)域内の個人情報保護を統一的に規定したEUの規則です。2018年5月25日に施行されました。EU加盟国のすべてに直接適用され、国内法への変換が不要な強制力の強い規則です。
重要なのは域外適用です。日本を含むEU域外の企業であっても、EU在住者の個人データを処理する場合(たとえば、EUのユーザーに商品・サービスを提供する場合)はGDPRの適用対象になります。グローバルにサービスを展開する企業にとって、無視できない規制です。
主要なデータ主体の権利
| 権利 | 内容 |
|---|---|
| アクセス権 | 自分のデータが何を処理されているか知る権利 |
| 訂正権 | 不正確なデータを修正させる権利 |
| 消去権(忘れられる権利) | 特定条件のもとでデータ削除を要求する権利 |
| 処理制限権 | データ処理を制限させる権利 |
| データポータビリティ権 | 自分のデータを機械読み取り可能形式で受け取る権利 |
| 異議申し立て権 | 特定の処理に異議を申し立てる権利 |
事業者の主な義務
| 義務 | 内容 |
|---|---|
| 処理の法的根拠 | 同意・契約・正当な利益等の根拠が必要 |
| プライバシーポリシー | 何をどう処理するか明確に告知 |
| DPO任命 | 大規模処理を行う場合はデータ保護責任者の設置 |
| データ侵害通知 | 漏洩発覚から72時間以内に監督機関へ通知 |
| データ保護影響評価(DPIA) | 高リスクな処理を始める前に影響評価を実施 |
歴史と背景
GDPRの前身は1995年のEUデータ保護指令(Directive 95/46/EC)ですが、インターネットの普及に伴い規制が時代遅れになり、2012年から改訂作業が始まりました。2016年に採択され、2年間の移行期間を経て2018年施行。施行初年度からGoogleやFacebookへの巨額罰金(Google 5,000万ユーロ等)が相次ぎ、その影響力を世界に知らしめました。GDPRを参考に世界各国で同様の個人情報保護法制が整備されています。
罰則
関連する規格・RFC
| 規格 | 内容 |
|---|---|
| ISO/IEC 27701 | プライバシー情報管理のための拡張規格(GDPRとの整合性あり) |
| ISO/IEC 29134 | プライバシー影響評価ガイドライン |