ガバナンス・管理

個人情報保護法・GDPR こじんじょうほうほごほう・じーでぃーぴーあーる

個人情報保護法GDPRプライバシー個人情報データ保護情報漏洩

個人情報保護法・GDPRについて教えて

簡単に言うとこんな感じ！

個人情報保護法とGDPRは「人の個人情報（名前・住所・メールアドレスなど）を扱うときのルールを定めた法律」だよ。「勝手に他人の情報を使っちゃいけない・漏らしちゃいけない」というシンプルなルールだけど、システムに個人情報を入れるなら設計段階から対策が必要なんだ。知らなかったでは済まされないし、違反したら最大で数億円の罰金になることもあるよ！

個人情報保護法・GDPRとは

個人情報保護法は2003年に制定（2005年全面施行）された日本の法律で、個人情報の適正な取得・利用・管理・開示・削除についてのルールを定めています。2022年の改正で漏洩時の本人通知・報告義務化・罰則強化・外国事業者への域外適用が追加されました。

GDPR（General Data Protection Regulation：一般データ保護規則）は2018年に施行されたEU（欧州連合）のデータ保護規則です。EU市民・EU居住者の個人データを処理するすべての組織に適用されます。日本企業でもEU向けのサービス提供・EU市民のデータを扱う場合は対象となります。GDPRの罰則は最大で全世界年間売上高の4%または2000万ユーロの高い方という厳しいものです。

IT調達においてこれらの法律が重要な理由は、システムの設計段階から個人情報保護を組み込む「プライバシー・バイ・デザイン」の考え方が求められるからです。「あとでセキュリティ対策を追加する」のではなく、設計の初期段階から「このシステムはどんな個人情報を扱うか・どう保護するか」を要件定義に含める必要があります。

個人情報保護法の主要ルール

義務・ルール	内容
利用目的の特定・通知	個人情報を取得する際、何に使うかを特定し本人に通知
目的外利用の禁止	通知した目的以外に個人情報を使ってはいけない
安全管理措置	個人情報の漏洩・滅失・毀損を防ぐための措置
第三者提供の制限	本人の同意なく第三者に個人情報を提供してはいけない
本人の開示・訂正・削除請求権	本人からの請求に応じる義務
漏洩時の報告・通知義務	1000件以上の漏洩は個人情報保護委員会への報告と本人通知が必要

GDPRの主要原則

原則	内容
適法性・公正性・透明性	合法的な根拠に基づきデータを処理する
目的の制限	特定された目的のみでデータを利用する
データ最小化	必要最小限のデータのみを収集する
正確性	データを正確に最新の状態に保つ
保管期間の制限	必要以上の期間データを保管しない
完全性・機密性	適切なセキュリティ措置でデータを保護する

歴史と背景

1980年：OECD（経済協力開発機構）がプライバシー保護ガイドラインを制定。個人情報保護の国際的な基盤となる
1995年：EU個人データ保護指令（Directive 95/46/EC）制定。GDPRの前身
2003年：日本で個人情報保護法成立（2005年全面施行）。5000件以上の個人情報を持つ事業者に適用
2009年：個人情報保護法改正で小規模事業者への適用も段階的に拡大が検討される
2015年：個人情報保護法改正（2017年施行）。匿名加工情報制度の創設・外国への第三者提供規制の強化
2018年：GDPR施行。EU域内の個人データ保護が大幅に強化。世界中の企業が対応に追われる
2022年：日本の個人情報保護法改正施行。漏洩通知義務・罰則強化・外国事業者への域外適用が追加。個人情報保護委員会の権限が強化

規格・標準	内容
個人情報保護法（2022年改正）	日本の個人情報保護の基本法
EU GDPR	EU一般データ保護規則（2018年施行）
ISO/IEC 29101	プライバシーアーキテクチャフレームワークの国際標準
ISO/IEC 27701	個人情報管理システムの要求事項・指針（ISO 27001の拡張）
Pマーク（プライバシーマーク）	JIS Q 15001に基づく個人情報保護体制の第三者認証

個人情報保護法・GDPR こじんじょうほうほごほう・じーでぃーぴーあーる

個人情報保護法・GDPRとは

個人情報保護法の主要ルール

GDPRの主要原則

歴史と背景

個人情報保護法とGDPRの比較

関連する規格・RFC

関連用語